SpywareQuake-Befall - Was tun??

#0
03.07.2006, 12:31
Member

Beiträge: 13
#1 Hallo!

Ich habe auch seit eben Probleme mit SpywareQuake, nachdem ich meinen Internetprovider gewechselt habe und die Firewall kurzfristig öffnen musste. Leider kann mein Virenprogramm diesen Virus nicht entfernen und ich bin absoluter Neuling, was diese ganzen log-Sachen angeht.
Kann mir bitte jemand Schritt für Schritt und verständlich sagen, wie ich das Problem lösen kann?

Vielen Dank,
Marlene

PS: Hab mir auf jeden Fall dieses hijackthis mal runtergeladen und den log kopiert:

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe
C:\Programme\aon\aonVirenchecker\GuardNT\guardNt.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\dcomcfg.exe
C:\WINDOWS\System32\atmclk.exe

C:\WINDOWS\Anvshell.exe
C:\WINDOWS\System32\sstray.exe
C:\WINDOWS\System32\TCAUDIAG.exe
C:\Program Files\ASUS\Probe\AsusProb.exe
C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe
C:\Programme\Hewlett-Packard\HP Software Update\HPWuSchd.exe
C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb08.exe
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\System32\IKAutoUp.exe
C:\WINDOWS\System32\ctfmon.exe
C:\WINDOWS\System32\RUNDLL32.EXE
C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
C:\Programme\WIDCOMM\Bluetooth Software\BTTray.exe
C:\WINDOWS\System32\wuauclt.exe
C:\PROGRA~1\MICROS~2\Office10\OUTLOOK.EXE
C:\Programme\Microsoft Office\Office10\WINWORD.EXE
C:\Programme\Crazy Browser\Crazy Browser.exe
C:\Programme\AVPersonal\INETUPD.EXE
C:\Programme\AVPersonal\Notifier.exe
C:\PROGRA~1\WINZIP\winzip32.exe
C:\Dokumente und Einstellungen\Marlene\Eigene Dateien\Unzipped\hijackthis\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://server224.smartbotpro.net/7search/?new-hklm
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://default-homepage-network.com/start.cgi?new-hklm
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - (no file)
O2 - BHO: (no name) - {5f4c3d09-b3b9-4f88-aa82-31332fee1c08} - C:\WINDOWS\System32\hp100.tmp

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: MSN Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\MSN Toolbar\01.01.1601.0\msgr.de.de-at\msntb.dll (file missing)
O4 - HKLM\..\Run: [Anvshell] C:\WINDOWS\Anvshell.exe
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [nForce Tray Options] sstray.exe /r
O4 - HKLM\..\Run: [TCASUTIEXE] TCAUDIAG.exe -on
O4 - HKLM\..\Run: [ASUS Probe] C:\Program Files\ASUS\Probe\AsusProb.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe
O4 - HKLM\..\Run: [websx] C:\Programme\websx\int113779.exe -auto
O4 - HKLM\..\Run: [WinPatrol] "C:\PROGRA~1\BILLPS~1\WINPAT~1\WinPatrol.exe"
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [HP Software Update] C:\Programme\Hewlett-Packard\HP Software Update\HPWuSchd.exe
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb08.exe
O4 - HKLM\..\Run: [DeviceDiscovery] C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [msnappau] "C:\Programme\MSN Apps\Updater\01.02.0002.1001\de-at\msnappau.exe"
O4 - HKLM\..\Run: [Ikarus-AutoUpdate] C:\WINDOWS\System32\IKAutoUp.exe /LOG
O4 - HKLM\..\Run: [Siemens SmartSync - ScheduleSync] C:\PROGRA~1\MOBILE~1\SMARTS~1\SCHEDU~1.EXE
O4 - HKLM\..\Run: [Guard NT] C:\Programme\aon\aonVirenchecker\GuardNT\GuardNT.exe /STARTDLG /CPYTOKEN
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit
O4 - HKCU\..\Run: [ares] "C:\Programme\Ares Lite Edition\Ares.exe" -h
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
O4 - Global Startup: BTTray.lnk = ?
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Senden an &Bluetooth - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_03\bin\npjpi142_03.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_03\bin\npjpi142_03.dll
O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 - Extra 'Tools' menuitem: @btrez.dll,-4017 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O12 - Plugin for .pdf: C:\Programme\Internet Explorer\PLUGINS\nppdf32.dll
O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - ms-its:mhtml:file://c:\nosuxxx.mht!http://213.158.119.18/jugle/loud.chm::/bridge-c18.cab
O16 - DPF: {288C5F13-7E52-4ADA-A32E-F5BF9D125F99} (CR64Loader Object) - http://www.miniclip.com/bestfriends/miniclipGameLoader.dll
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab
O16 - DPF: {BFF1950D-B1B4-4AE8-B842-B2CCF06D9A1B} (Zylom Games Player) - http://game17.zylomgames.com/activex/zylomgamesplayer.cab
O16 - DPF: {CE69F98F-2AF3-4306-BAC6-A79070EDA1B4} (Zylom Loader Object) - http://game11.zylomgames.com/activex/zylomloader.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - https://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O16 - DPF: {DA511858-B44C-439E-A0EA-704ED20035E7} (EphoxEditLive4.EditLive) - http://www.beepworld.de/hp/activexeditor/editlive4.cab
O16 - DPF: {DC187740-46A9-11D5-A815-00B0D0428C0C} - http://www.wella.de/consumer/salon_products/kp/farbberatungk/koleston3/setup.cab
O16 - DPF: {DEB21AD3-FDA4-42F6-B57D-EE696A675EE8} (IP-Uploader Control) - http://asp03.photoprintit.de/microsite/defaults/activex/ImageUploader3.cab
O16 - DPF: {EFB22865-F3BC-4309-ADFA-C8E078A7F762} (SysWebTelecomInt Class) - http://www.sponsoradulto.com/en/SysWebTelecom.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{D9E2ABE4-A016-4A93-AA7E-792853C89FCB}: NameServer = 172.27.2.10 172.27.1.1
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: Bluetooth Service (btwdins) - WIDCOMM, Inc. - C:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe
O23 - Service: Guard NT - Ikarus Software Wien - C:\Programme\aon\aonVirenchecker\GuardNT\guardNt.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

[/b]
Seitenanfang Seitenende
03.07.2006, 13:24
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#2 stelle den CleanUp genauso ein, wie hier angegeben:
http://virus-protect.org/cleanup.html

Kopiere diese 4 Textdateien ab . (rechtsklick mit der Maus -> den Text markieren -> kopieren -> einfügen) Sie sind nach Datum geordnet. (kopiere nur die letzten 3 Monate ab)
http://virus-protect.org/datfindbat.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
03.07.2006, 16:11
Member

Themenstarter

Beiträge: 13
#3 und wohin kopiere ich dann diese 4 textdateien?
Seitenanfang Seitenende
03.07.2006, 16:14
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#4 vielleicht hier ??? ;) damit ich sie sehen kann............
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
03.07.2006, 18:43
Member

Themenstarter

Beiträge: 13
#5 Oh, sorry. *rotwerd* Also hier die Textdateien:

Verzeichnis von C:\WINDOWS\system32

03.07.2006 16:11 5.000 stdole3.tlb
03.07.2006 16:04 44.032 hp100.tmp
03.07.2006 16:04 54.285 ld101.tmp
03.07.2006 16:04 8.192 simpole.tlb

03.07.2006 12:49 199.131 IKAutoUp.log
03.07.2006 10:58 10.832 atmclk.exe
03.07.2006 10:58 4.286 ot.ico
03.07.2006 10:58 176.128 tnvocyn.dll
03.07.2006 10:58 4.286 ts.ico
03.07.2006 10:58 69.120 dcomcfg.exe
23.06.2006 22:08 5.120 ismon.exe
23.06.2006 22:08 28.680 ishost.exe
17.06.2006 17:40 65.037 regperf.exe

14.05.2006 20:45 2.184 wpa.dbl
29.04.2006 22:48 137.036 AdobeFnt.lst
26.03.2006 12:27 307.816 FNTCACHE.DAT


Verzeichnis von C:\DOKUME~1\Marlene\LOKALE~1\Temp

03.07.2006 16:06 0 Acr10.tmp
03.07.2006 16:06 2.048.000 Acr12.tmp
03.07.2006 16:06 179 Acr2.tmp
03.07.2006 16:06 426 Acr4.tmp
03.07.2006 16:04 136 hpotdd016.log
03.07.2006 16:04 35.824 jusched.log
03.07.2006 12:49 136 hpotdd015.log
03.07.2006 11:04 136 hpotdd014.log
02.07.2006 21:23 136 hpotdd013.log
02.07.2006 11:16 136 hpotdd012.log
01.07.2006 23:07 136 hpotdd011.log
01.07.2006 00:10 136 hpotdd010.log
30.06.2006 20:00 136 hpotdd009.log
30.06.2006 13:43 136 hpotdd008.log
30.06.2006 06:33 136 hpotdd007.log
29.06.2006 21:43 136 hpotdd006.log
29.06.2006 21:42 16.384 ~DF464F.tmp
29.06.2006 09:07 136 hpotdd005.log
29.06.2006 08:26 136 hpotdd004.log
29.06.2006 00:00 136 hpotdd003.log
28.06.2006 21:45 136 hpotdd002.log
28.06.2006 17:47 104 0CF6E057.TMP
28.06.2006 08:45 136 hpotdd001.log
28.06.2006 08:45 16.384 ~DF200.tmp
27.06.2006 22:37 136 hpotdd000.log
27.06.2006 22:37 16.384 ~DF5853.tmp
27.06.2006 22:17 2.048 ~WRF0001.tmp
27.06.2006 22:17 136 hpotdd144.log
27.06.2006 19:05 136 hpotdd143.log
27.06.2006 15:35 136 hpotdd142.log
27.06.2006 10:27 136 hpotdd141.log
27.06.2006 06:36 16.384 ~DF822A.tmp
27.06.2006 06:36 136 hpotdd140.log
26.06.2006 22:28 136 hpotdd139.log
26.06.2006 22:28 16.384 ~DFFCFA.tmp
26.06.2006 21:17 16.384 ~DFFE9C.tmp
26.06.2006 21:17 136 hpotdd138.log
26.06.2006 18:55 136 hpotdd137.log
26.06.2006 16:10 136 hpotdd136.log
26.06.2006 16:05 136 hpotdd135.log
26.06.2006 15:54 136 hpotdd134.log
26.06.2006 15:54 16.384 ~DFFE3C.tmp
26.06.2006 15:37 16.384 ~DFFD77.tmp
26.06.2006 15:37 136 hpotdd133.log
26.06.2006 15:24 16.384 ~DF76D4.tmp
26.06.2006 15:24 136 hpotdd132.log
26.06.2006 10:00 16.384 ~DF833A.tmp
26.06.2006 10:00 136 hpotdd131.log
26.06.2006 09:52 1.409 FOR23.tmp
26.06.2006 09:52 27.180 ZTR22.tmp
26.06.2006 09:52 40.448 ZTR20.tmp
26.06.2006 09:52 1.409 FOR21.tmp
25.06.2006 23:34 136 hpotdd130.log
25.06.2006 16:13 16.384 ~DF81A0.tmp
25.06.2006 16:13 136 hpotdd129.log
25.06.2006 15:48 16.384 ~WRF0000.tmp
25.06.2006 15:48 285 ~WRD0695.doc
25.06.2006 15:48 55.808 ~WRS2554.tmp
25.06.2006 15:42 56.674 ~WRC2170.tmp
25.06.2006 15:39 8.760 mso37276.dat
25.06.2006 13:06 136 hpotdd128.log
25.06.2006 13:06 16.384 ~DF32F7.tmp
25.06.2006 10:54 16.384 ~DFFF36.tmp
25.06.2006 10:54 136 hpotdd127.log
24.06.2006 21:46 136 hpotdd126.log
24.06.2006 14:24 136 hpotdd125.log
24.06.2006 14:24 16.384 ~DF4C65.tmp
23.06.2006 23:13 16.384 ~DF7258.tmp
23.06.2006 23:13 136 hpotdd124.log
23.06.2006 18:35 136 hpotdd123.log
23.06.2006 11:21 16.384 ~DF1129.tmp
23.06.2006 11:21 136 hpotdd122.log
22.06.2006 22:30 136 hpotdd121.log
22.06.2006 22:30 16.384 ~DF8227.tmp
22.06.2006 21:12 16.384 ~DFFC28.tmp
22.06.2006 21:12 136 hpotdd120.log
22.06.2006 21:11 0 CacheInfo.dnl
22.06.2006 11:11 136 hpotdd119.log
22.06.2006 08:08 136 hpotdd118.log
22.06.2006 08:08 16.384 ~DF5BB9.tmp
21.06.2006 23:12 16.384 ~DFFC60.tmp
21.06.2006 23:12 136 hpotdd117.log
21.06.2006 10:17 136 hpotdd116.log
21.06.2006 10:17 16.384 ~DFFE3D.tmp
21.06.2006 08:08 136 hpotdd115.log
21.06.2006 08:08 16.384 ~DF5D9A.tmp

Verzeichnis von C:\WINDOWS

03.07.2006 16:11 1.177.816 WindowsUpdate.log
03.07.2006 16:04 0 0.log
03.07.2006 16:04 159 wiadebug.log
03.07.2006 16:04 2.048 bootstat.dat
03.07.2006 12:49 32.622 SchedLgU.Txt
03.07.2006 12:49 50 wiaservc.log
03.07.2006 12:47 1.896.504 setupapi.log
27.06.2006 21:09 175.959 setupact.log
14.06.2006 08:34 6.096 ModemLog_Bluetooth Fax Modem.txt
09.06.2006 18:15 387 system.ini
27.05.2006 20:52 2.014 ModemLog_Siemens Mobile Phone USB Modem.txt
10.03.2006 16:25 65.536 DUMPff07.tmp
04.03.2006 15:41 244.929 iis6.log
04.03.2006 15:41 68.137 comsetup.log
04.03.2006 15:41 41.066 ntdtcsetup.log
04.03.2006 15:41 7.077 ocmsn.log
04.03.2006 15:41 88.506 tsoc.log
04.03.2006 15:41 104.555 ocgen.log
04.03.2006 15:41 6.206 tabletoc.log
04.03.2006 15:41 1.891 imsins.log
04.03.2006 15:41 22.678 netfxocm.log
04.03.2006 15:41 9.252 msgsocm.log
04.03.2006 15:41 166.591 FaxSetup.log
04.03.2006 15:39 62.070 msmqinst.log

Verzeichnis von C:\

03.07.2006 16:15 0 sys.txt
03.07.2006 16:15 9.331 windows.txt
03.07.2006 16:15 9.331 system.txt
03.07.2006 16:14 4.539 temp.txt
03.07.2006 16:14 4.539 systemtemp.txt
03.07.2006 16:14 112.181 system32.txt
03.07.2006 16:04 805.306.368 pagefile.sys
03.07.2006 12:12 720.534 hpfr3600.log
27.05.2006 20:31 175.700 SDSSetup.log
29.04.2006 22:48 495 stub.log
08.12.2005 02:13 13.312 Thumbs.db
Seitenanfang Seitenende
03.07.2006, 19:31
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#6 1.
CleanUp anwenden + PC neustarten muss leer sein: Verzeichnis von C:\DOKUME~1\Marlene\LOKALE~1\Temp
http://virus-protect.org/cleanup.html

2.
poste bitte noch hier ;) das log vom Silentrunner, dann beginnt die reinigung
http://virus-protect.org/silentrunner.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
03.07.2006, 20:57
Member

Themenstarter

Beiträge: 13
#7 "Silent Runners.vbs", revision 46, http://www.silentrunners.org/
Operating System: Windows XP
Output limited to non-default values, except where indicated by "{++}"


Startup items buried in registry:
---------------------------------

HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++}
"CTFMON.EXE" = "C:\WINDOWS\System32\ctfmon.exe" [MS]
"NvMediaCenter" = "RUNDLL32.EXE C:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit" [MS]
"ares" = ""C:\Programme\Ares Lite Edition\Ares.exe" -h" [file not found]
"MsnMsgr" = ""C:\Programme\MSN Messenger\MsnMsgr.Exe" /background" [file not found]
"Win32" = "msnsrv.exe" [null data]

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\ {++}
"wininet.dll" = "regperf.exe" [null data]
"dcomcfg.exe" = "dcomcfg.exe" [null data]
"kernel32.dll" = "C:\WINDOWS\System32\atmclk.exe" [null data]


HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++}
"Anvshell" = "C:\WINDOWS\Anvshell.exe" ["AsusTeK Computer Inc."]
"nwiz" = "nwiz.exe /install" ["NVIDIA Corporation"]
"nForce Tray Options" = "sstray.exe /r" ["NVIDIA Corporation"]
"TCASUTIEXE" = "TCAUDIAG.exe -on" [empty string]
"ASUS Probe" = "C:\Program Files\ASUS\Probe\AsusProb.exe" [null data]
"SunJavaUpdateSched" = "C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe" [null data]
"websx" = "C:\Programme\websx\int113779.exe -auto" [file not found]
"WinPatrol" = ""C:\PROGRA~1\BILLPS~1\WINPAT~1\WinPatrol.exe"" [file not found]
"NeroCheck" = "C:\WINDOWS\system32\NeroCheck.exe" ["Ahead Software Gmbh"]
"HP Software Update" = "C:\Programme\Hewlett-Packard\HP Software Update\HPWuSchd.exe" [null data]
"HPDJ Taskbar Utility" = "C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb08.exe" ["HP"]
"DeviceDiscovery" = "C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe" ["Hewlett-Packard"]
"AVGCtrl" = ""C:\Programme\AVPersonal\AVGNT.EXE" /min" ["H+BEDV Datentechnik GmbH"]
"msnappau" = ""C:\Programme\MSN Apps\Updater\01.02.0002.1001\de-at\msnappau.exe"" [file not found]
"Ikarus-AutoUpdate" = "C:\WINDOWS\System32\IKAutoUp.exe /LOG" ["Ikarus Software Wien"]
"Siemens SmartSync - ScheduleSync" = "C:\PROGRA~1\MOBILE~1\SMARTS~1\SCHEDU~1.EXE" [empty string]
"Guard NT" = "C:\Programme\aon\aonVirenchecker\GuardNT\GuardNT.exe /STARTDLG /CPYTOKEN" ["Ikarus Software Wien"]
"Win32" = "msnsrv.exe" [null data]

HKLM\Software\Microsoft\Active Setup\Installed Components\
{306D6C21-C1B6-4629-986C-E59E1875B8AF}\(Default) = (no title provided)
\StubPath = ""C:\WINDOWS\System32\rundll32.exe" "C:\Programme\Messenger\msgsc.dll",ShowIconsUser" [MS]

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\
{5f4c3d09-b3b9-4f88-aa82-31332fee1c08}\(Default) = (no title provided)
-> {HKLM...CLSID} = (no title provided)
\InProcServer32\(Default) = "C:\WINDOWS\System32\hp100.tmp" [null data]


HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\
"{42071714-76d4-11d1-8b24-00a0c9068ff3}" = "CPL-Erweiterung für Anzeigeverschiebung"
-> {HKLM...CLSID} = "CPL-Erweiterung für Anzeigeverschiebung"
\InProcServer32\(Default) = "deskpan.dll" [file not found]
"{88895560-9AA2-1069-930E-00AA0030EBC8}" = "Erweiterung für HyperTerminal-Icons"
-> {HKLM...CLSID} = "HyperTerminal Icon Ext"
\InProcServer32\(Default) = "C:\WINDOWS\System32\hticons.dll" [file not found]

Ich hoffe, alles richtig gemacht zu haben. ;-)
Seitenanfang Seitenende
03.07.2006, 23:02
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#8 noch einmal, bitte: Die Option "Supplementary Searches" wählen
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
04.07.2006, 07:40
Member

Themenstarter

Beiträge: 13
#9 hier bitte:

"Silent Runners.vbs", revision 46, http://www.silentrunners.org/
Operating System: Windows XP
Output limited to non-default values, except where indicated by "{++}"


Startup items buried in registry:
---------------------------------

HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++}
"CTFMON.EXE" = "C:\WINDOWS\System32\ctfmon.exe" [MS]
"NvMediaCenter" = "RUNDLL32.EXE C:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit" [MS]
"ares" = ""C:\Programme\Ares Lite Edition\Ares.exe" -h" [file not found]
"MsnMsgr" = ""C:\Programme\MSN Messenger\MsnMsgr.Exe" /background" [file not found]
"Win32" = "msnsrv.exe" [null data]

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\ {++}
"wininet.dll" = "regperf.exe" [null data]
"dcomcfg.exe" = "dcomcfg.exe" [null data]
"kernel32.dll" = "C:\WINDOWS\System32\atmclk.exe" [null data]

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++}
"Anvshell" = "C:\WINDOWS\Anvshell.exe" ["AsusTeK Computer Inc."]
"nwiz" = "nwiz.exe /install" ["NVIDIA Corporation"]
"nForce Tray Options" = "sstray.exe /r" ["NVIDIA Corporation"]
"TCASUTIEXE" = "TCAUDIAG.exe -on" [empty string]
"ASUS Probe" = "C:\Program Files\ASUS\Probe\AsusProb.exe" [null data]
"SunJavaUpdateSched" = "C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe" [null data]
"websx" = "C:\Programme\websx\int113779.exe -auto" [file not found]
"WinPatrol" = ""C:\PROGRA~1\BILLPS~1\WINPAT~1\WinPatrol.exe"" [file not found]
"NeroCheck" = "C:\WINDOWS\system32\NeroCheck.exe" ["Ahead Software Gmbh"]
"HP Software Update" = "C:\Programme\Hewlett-Packard\HP Software Update\HPWuSchd.exe" [null data]
"HPDJ Taskbar Utility" = "C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb08.exe" ["HP"]
"DeviceDiscovery" = "C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe" ["Hewlett-Packard"]
"AVGCtrl" = ""C:\Programme\AVPersonal\AVGNT.EXE" /min" ["H+BEDV Datentechnik GmbH"]
"msnappau" = ""C:\Programme\MSN Apps\Updater\01.02.0002.1001\de-at\msnappau.exe"" [file not found]
"Ikarus-AutoUpdate" = "C:\WINDOWS\System32\IKAutoUp.exe /LOG" ["Ikarus Software Wien"]
"Siemens SmartSync - ScheduleSync" = "C:\PROGRA~1\MOBILE~1\SMARTS~1\SCHEDU~1.EXE" [empty string]
"Guard NT" = "C:\Programme\aon\aonVirenchecker\GuardNT\GuardNT.exe /STARTDLG /CPYTOKEN" ["Ikarus Software Wien"]
"Win32" = "msnsrv.exe" [null data]

HKLM\Software\Microsoft\Active Setup\Installed Components\
{306D6C21-C1B6-4629-986C-E59E1875B8AF}\(Default) = (no title provided)
\StubPath = ""C:\WINDOWS\System32\rundll32.exe" "C:\Programme\Messenger\msgsc.dll",ShowIconsUser" [MS]

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\
{5f4c3d09-b3b9-4f88-aa82-31332fee1c08}\(Default) = (no title provided)
-> {HKLM...CLSID} = (no title provided)
\InProcServer32\(Default) = "C:\WINDOWS\System32\hp100.tmp" [null data]

HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\
"{42071714-76d4-11d1-8b24-00a0c9068ff3}" = "CPL-Erweiterung für Anzeigeverschiebung"
-> {HKLM...CLSID} = "CPL-Erweiterung für Anzeigeverschiebung"
\InProcServer32\(Default) = "deskpan.dll" [file not found]
"{88895560-9AA2-1069-930E-00AA0030EBC8}" = "Erweiterung für HyperTerminal-Icons"
-> {HKLM...CLSID} = "HyperTerminal Icon Ext"
\InProcServer32\(Default) = "C:\WINDOWS\System32\hticons.dll" [file not found]
"{1CDB2949-8F65-4355-8456-263E7C208A5D}" = "Desktop-Explorer"
-> {HKLM...CLSID} = "Desktop-Explorer"
\InProcServer32\(Default) = "C:\WINDOWS\System32\nvshell.dll" ["NVIDIA Corporation"]
"{1E9B04FB-F9E5-4718-997B-B8DA88302A47}" = "Desktop Explorer Menu"
-> {HKLM...CLSID} = (no title provided)
\InProcServer32\(Default) = "C:\WINDOWS\System32\nvshell.dll" ["NVIDIA Corporation"]
"{0006F045-0000-0000-C000-000000000046}" = "Microsoft Outlook Custom Icon Handler"
-> {HKLM...CLSID} = "Outlook-Dateisymbolerweiterung"
\InProcServer32\(Default) = "C:\Programme\Microsoft Office\Office10\OLKFSTUB.DLL" [MS]
"{42042206-2D85-11D3-8CFF-005004838597}" = "Microsoft Office HTML Icon Handler"
-> {HKLM...CLSID} = (no title provided)
\InProcServer32\(Default) = "C:\Programme\Microsoft Office\Office10\msohev.dll" [MS]
"{57C51AF9-DEF7-11D3-A801-00C04F163490}" = "Ghost Shell Extension"
-> {HKLM...CLSID} = "PropPage Class"
\InProcServer32\(Default) = "C:\Programme\Symantec\Norton Ghost 2002\GhoShExt.dll" ["Symantec Corporation"]
"{C56C4E21-706D-11d0-AFC5-444553540002}" = "Meine Digitalkamera"
-> {HKLM...CLSID} = "Meine Digitalkamera"
\InProcServer32\(Default) = "C:\Programme\PhotoDeluxe HE 3.1\FotoNation Explorer\camview.dll" ["FotoNation Inc."]
"{ED65AC21-B24F-11d3-BA80-00C0CA16AA37}" = "Siemens Device"
-> {HKLM...CLSID} = "Siemens Device"
\InProcServer32\(Default) = "C:\Programme\Mobile Phone Manager\DES\DESShellExt.dll" ["Siemens AG"]
"{ED65AC22-B24F-11d3-BA80-00C0CA16AA37}" = "Siemens Device ContextMenuHandler"
-> {HKLM...CLSID} = "Siemens Device ContextMenuHandler"
\InProcServer32\(Default) = "C:\Programme\Mobile Phone Manager\DES\DESShellExt.dll" ["Siemens AG"]
"{ED65AC23-B24F-11d3-BA80-00C0CA16AA37}" = "Siemens SX1 PropertySheetHandler"
-> {HKLM...CLSID} = "Siemens Device PropertySheetHandler"
\InProcServer32\(Default) = "C:\Programme\Mobile Phone Manager\DES\DESShellExt.dll" ["Siemens AG"]
"{6af09ec9-b429-11d4-a1fb-0090960218cb}" = "My Bluetooth Places"
-> {HKLM...CLSID} = "Bluetooth-Umgebung"
\InProcServer32\(Default) = "C:\WINDOWS\System32\btneighborhood.dll" ["WIDCOMM, Inc."]
"{E0D79304-84BE-11CE-9641-444553540000}" = "WinZip"
-> {HKLM...CLSID} = "WinZip"
\InProcServer32\(Default) = "C:\PROGRA~1\WINZIP\WZSHLSTB.DLL" ["WinZip Computing, Inc."]
"{E0D79305-84BE-11CE-9641-444553540000}" = "WinZip"
-> {HKLM...CLSID} = "WinZip"
\InProcServer32\(Default) = "C:\PROGRA~1\WINZIP\WZSHLSTB.DLL" ["WinZip Computing, Inc."]
"{E0D79306-84BE-11CE-9641-444553540000}" = "WinZip"
-> {HKLM...CLSID} = "WinZip"
\InProcServer32\(Default) = "C:\PROGRA~1\WINZIP\WZSHLSTB.DLL" ["WinZip Computing, Inc."]
"{E0D79307-84BE-11CE-9641-444553540000}" = "WinZip"
-> {HKLM...CLSID} = "WinZip"
\InProcServer32\(Default) = "C:\PROGRA~1\WINZIP\WZSHLSTB.DLL" ["WinZip Computing, Inc."]

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler\
INFECTION WARNING! "{0ffdaffc-d80d-47bf-b9b0-895ea240f4de}" = "adelges"
-> {HKCU...CLSID} = (no title provided)
\InProcServer32\(Default) = "C:\WINDOWS\System32\tnvocyn.dll" [null data]

HKLM\Software\Classes\*\shellex\ContextMenuHandlers\
WinZip\(Default) = "{E0D79304-84BE-11CE-9641-444553540000}"
-> {HKLM...CLSID} = "WinZip"
\InProcServer32\(Default) = "C:\PROGRA~1\WINZIP\WZSHLSTB.DLL" ["WinZip Computing, Inc."]

HKLM\Software\Classes\Directory\shellex\ContextMenuHandlers\
WinZip\(Default) = "{E0D79304-84BE-11CE-9641-444553540000}"
-> {HKLM...CLSID} = "WinZip"
\InProcServer32\(Default) = "C:\PROGRA~1\WINZIP\WZSHLSTB.DLL" ["WinZip Computing, Inc."]

HKLM\Software\Classes\Folder\shellex\ContextMenuHandlers\
WinZip\(Default) = "{E0D79304-84BE-11CE-9641-444553540000}"
-> {HKLM...CLSID} = "WinZip"
\InProcServer32\(Default) = "C:\PROGRA~1\WINZIP\WZSHLSTB.DLL" ["WinZip Computing, Inc."]


Default executables:
--------------------

INFECTION WARNING! HKLM\Software\Classes\scrfile\shell\open\command\(Default) = ""%1" /S "%3"" [file not found]


Active Desktop and Wallpaper:
-----------------------------

Active Desktop is disabled at this entry:
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellState

HKCU\Control Panel\Desktop\
"Wallpaper" = "C:\Dokumente und Einstellungen\Marlene\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp"


Startup items in "Marlene" & "All Users" startup folders:
---------------------------------------------------------

C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart
"Microsoft Office" -> shortcut to: "C:\Programme\Microsoft Office\Office10\OSA.EXE -b -l" [MS]
"InterVideo WinCinema Manager" -> shortcut to: "C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe" [empty string]
"BTTray" -> shortcut to: "C:\Programme\WIDCOMM\Bluetooth Software\BTTray.exe" ["WIDCOMM, Inc."]


Winsock2 Service Provider DLLs:
-------------------------------

Namespace Service Providers

HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\ {++}
000000000001\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]
000000000002\LibraryPath = "%SystemRoot%\System32\winrnr.dll" [MS]
000000000003\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]

Transport Service Providers

HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\ {++}
0000000000##\PackedCatalogItem (contains) DLL [Company Name], (at) ## range:
%SystemRoot%\system32\mswsock.dll [MS], 01 - 03, 06 - 23
%SystemRoot%\system32\rsvpsp.dll [MS], 04 - 05


Toolbars, Explorer Bars, Extensions:
------------------------------------

Toolbars

HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\
"{BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0}"
-> {HKLM...CLSID} = "MSN Toolbar"
\InProcServer32\(Default) = "C:\Programme\MSN Toolbar\01.01.1601.0\msgr.de.de-at\msntb.dll" [file not found]

HKLM\Software\Microsoft\Internet Explorer\Toolbar\
"{BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0}" = "0"
-> {HKLM...CLSID} = "MSN Toolbar"
\InProcServer32\(Default) = "C:\Programme\MSN Toolbar\01.01.1601.0\msgr.de.de-at\msntb.dll" [file not found]

Extensions (Tools menu items, main toolbar menu buttons)

HKLM\Software\Microsoft\Internet Explorer\Extensions\
{08B0E5C0-4FCB-11CF-AAA5-00401C608501}\
"MenuText" = "Sun Java Konsole"
"CLSIDExtension" = "{08B0E5C0-4FCB-11CF-AAA5-00401C608501}"

{CCA281CA-C863-46EF-9331-5C8D4460577F}\
"ButtonText" = "@btrez.dll,-4015"
"MenuText" = "@btrez.dll,-4017"
"Script" = "C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie.htm" [null data]


Running Services (Display Name, Service Name, Path {Service DLL}):
------------------------------------------------------------------

AntiVir Update, AVWUpSrv, ""C:\Programme\AVPersonal\AVWUPSRV.EXE"" ["H+BEDV Datentechnik GmbH, Germany"]
Bluetooth Service, btwdins, "C:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe" ["WIDCOMM, Inc."]
Guard NT, Guard NT, "C:\Programme\aon\aonVirenchecker\GuardNT\guardNt.exe /DAVE" ["Ikarus Software Wien"]
Machine Debug Manager, MDM, ""C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe"" [MS]
NVIDIA Driver Helper Service, NVSvc, "C:\WINDOWS\System32\nvsvc32.exe" ["NVIDIA Corporation"]


Print Monitors:
---------------

HKLM\System\CurrentControlSet\Control\Print\Monitors\
hpzsnt08\Driver = "hpzsnt08.dll" ["HP"]


----------
+ This report excludes default entries except where indicated.
+ To see *everywhere* the script checks and *everything* it finds,
launch it from a command prompt or a shortcut with the -all parameter.
+ The search for DESKTOP.INI DLL launch points on all local fixed drives
took 77 seconds.
+ The search for all Registry CLSIDs containing dormant Explorer Bars
took 17 seconds.
---------- (total run time: 345 seconds)
Seitenanfang Seitenende
04.07.2006, 15:01
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#10 skye

1.
spyfalcon.zip -> http://virus-protect.org/zip/spyfalcon.zip -> entpacken auf dem Desktop -> spyfalcon.reg ->doppeltklicken und der Registry mit "ja/yes" beifügen

2.
Avenger
http://virus-protect.org/artikel/tools/avenger.html
kopiere rein:

Zitat

Files to delete:
C:\Programme\websx\int113779.exe
C:\WINDOWS\system32\msnsrv.exe
C:\WINDOWS\msnsrv.exe
C:\WINDOWS\system32\stdole3.tlb
C:\WINDOWS\system32\simpole.tlb
C:\WINDOWS\system32\atmclk.exe
C:\WINDOWS\system32\ot.ico
C:\WINDOWS\system32\tnvocyn.dll
C:\WINDOWS\system32\ts.ico
C:\WINDOWS\system32\dcomcfg.exe
C:\WINDOWS\system32\ismon.exe
C:\WINDOWS\system32\ishost.exe
C:\WINDOWS\system32\regperf.exe
Klicke die gruene Ampel
das Script wird nun ausgeführt, dann wird der PC automatisch neustarten

**
poste das log vom avenger, was erscheint

**
3.
öffne das HijackThis -- Button "scan" -- vor die Malware-Einträge Häkchen setzen -- Button "Fix checked"--> PC neustarten

Zitat

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://server224.smartbotpro.net/7search/?new-hklm
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://default-homepage-network.com/start.cgi?new-hklm
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - (no file)
O2 - BHO: (no name) - {5f4c3d09-b3b9-4f88-aa82-31332fee1c08} - C:\WINDOWS\System32\hp100.tmp
O4 - HKLM\..\Run: [websx] C:\Programme\websx\int113779.exe -auto
O16 - DPF: {288C5F13-7E52-4ADA-A32E-F5BF9D125F99} (CR64Loader Object) - http://www.miniclip.com/bestfriends/miniclipGameLoader.dll
O16 - DPF: {EFB22865-F3BC-4309-ADFA-C8E078A7F762} (SysWebTelecomInt Class) - http://www.sponsoradulto.com/en/SysWebTelecom.cab
PC neustarten

4.
arbeite smitfraud.fix ab und poste beide scanreporte
http://virus-protect.org/artikel/tools/smitfrautfix.html

5.
desinstallieren- loesche:...wenn es nicht unbedingt erwuenscht ist....
C:\Programme\websx

6.
neue Startseite
gehe zur Systemsteuerung --> Internetoptionen --> auf dem Reiter Allgemein bei Temporäre Internetdateien klickst du Dateien löschen --> auch bei Alle Offlineinhalte löschen das Häkchen setzen und mit OK bestätigen --> Auf den Reiter Programme gehen und dort auf Webeinstellungen zurücksetzen klicken, mit Ja bestätigen, fall Nachfrage kommt --> auf Übernehmen und abschließend auf OK klicken und stelle eine neue Startseite ein

7.
Arbeitsplatz-->Rechtsklick, dann auf Eigenschaften--->Reiter Systemwiederherstellung--->Häkchen setzen bei Systemwiederherstellung auf allen Laufwerken deaktivieren.
(dann wieder aktivieren)

8.
F-Secure Online Scanner Next Generation Beta
http://support.f-secure.com/enu/home/ols3.shtml

1. Klicke den Link: "F-Secure Online Scanner Next Generation Beta".
2. Du wirst aufgefordert werden, ein ActiveX-Control zu installieren
3. Installiere diese ActiveX-Komponente
4. Lies die Anleitung und klicke: "Accept"
5. Klicke "Full System Scan"
6. klicke "Show report" - kopiere den Scanreport

--------------------------------------------------------------------

"Win32" = "msnsrv.exe" [null data]

??????????????????????????????????????

Datei: msnsrv.exe
Status:
INFIZIERT/MALWARE
Entdeckte Packprogramme:
PESPIN

AntiVir
Worm/SdBot.56320.31 gefunden
ArcaVir
Trojan.Sdbot.Xd gefunden
Avast
Keine Viren gefunden
AVG Antivirus
IRC/BackDoor.SdBot.WHF gefunden
BitDefender
Backdoor.SDBot.ALP gefunden
ClamAV
Keine Viren gefunden
Dr.Web
BackDoor.IRC.Sdbot.based gefunden
F-Prot Antivirus
W32/Sdbot.OMD gefunden
Fortinet
W32/SDBot.X!bdr gefunden
Kaspersky Anti-Virus
Backdoor.Win32.SdBot.xd gefunden
NOD32
a variant of IRC/SdBot gefunden
Norman Virus Control
W32/SDBot.YLH gefunden
UNA
Keine Viren gefunden
VBA32
Backdoor.Win32.SdBot.xd gefunden
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
04.07.2006, 16:20
Member

Themenstarter

Beiträge: 13
#11 Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\orbwgqkt

*******************

Script file located at: \??\C:\Program Files\kdaincgy.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:



Could not open file C:\Programme\websx\int113779.exe for deletion
Deletion of file C:\Programme\websx\int113779.exe failed!

Could not process line:
C:\Programme\websx\int113779.exe
Status: 0xc000003a

File C:\WINDOWS\system32\msnsrv.exe deleted successfully.


File C:\WINDOWS\msnsrv.exe not found!
Deletion of file C:\WINDOWS\msnsrv.exe failed!

Could not process line:
C:\WINDOWS\msnsrv.exe
Status: 0xc0000034

File C:\WINDOWS\system32\stdole3.tlb deleted successfully.
File C:\WINDOWS\system32\simpole.tlb deleted successfully.
File C:\WINDOWS\system32\atmclk.exe deleted successfully.
File C:\WINDOWS\system32\ot.ico deleted successfully.
File C:\WINDOWS\system32\tnvocyn.dll deleted successfully.
File C:\WINDOWS\system32\ts.ico deleted successfully.
File C:\WINDOWS\system32\dcomcfg.exe deleted successfully.
File C:\WINDOWS\system32\ismon.exe deleted successfully.
File C:\WINDOWS\system32\ishost.exe deleted successfully.
File C:\WINDOWS\system32\regperf.exe deleted successfully.

Completed script processing.

*******************

Finished! Terminate.
Seitenanfang Seitenende
04.07.2006, 16:25
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#12 nun poste die beiden reporte vom smitfraud.fix - und arbeite alles weitere ab ;)
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
04.07.2006, 16:32
Member

Themenstarter

Beiträge: 13
#13 Bericht 1:

SmitFraudFix v2.67

Scan done at 16:31:19,98, 04.07.2006
Run from C:\Dokumente und Einstellungen\Marlene\Eigene Dateien\Unzipped\SmitfraudFix\SmitfraudFix
OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT
Fix ran in normal mode

»»»»»»»»»»»»»»»»»»»»»»»» C:\


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32

C:\WINDOWS\system32\ld???.tmp FOUND !
C:\WINDOWS\system32\ld????.tmp FOUND !
C:\WINDOWS\system32\mscornet.exe FOUND !
C:\WINDOWS\system32\1024\ FOUND !

»»»»»»»»»»»»»»»»»»»»»»»» C:\Dokumente und Einstellungen\Marlene\Application Data


»»»»»»»»»»»»»»»»»»»»»»»» Start Menu


»»»»»»»»»»»»»»»»»»»»»»»» C:\DOKUME~1\MARLENE\FAVORI~1

C:\DOKUME~1\MARLENE\FAVORI~1\Antivirus Test Online.url FOUND !

»»»»»»»»»»»»»»»»»»»»»»»» Desktop

C:\DOKUME~1\ALLUSE~1\DESKTOP\Online Security Guide.url FOUND !
C:\DOKUME~1\ALLUSE~1\DESKTOP\Security Troubleshooting.url FOUND !

»»»»»»»»»»»»»»»»»»»»»»»» C:\Programme

C:\Programme\SpyQuake2.com\ FOUND !

»»»»»»»»»»»»»»»»»»»»»»»» Corrupted keys


»»»»»»»»»»»»»»»»»»»»»»»» Desktop Components

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Die derzeitige Homepage"


»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]
"{0ffdaffc-d80d-47bf-b9b0-895ea240f4de}"="adelges"

[HKEY_CLASSES_ROOT\CLSID\{0ffdaffc-d80d-47bf-b9b0-895ea240f4de}\InProcServer32]
@="C:\WINDOWS\System32\tnvocyn.dll"

[HKEY_CURRENT_USER\Software\Classes\CLSID\{0ffdaffc-d80d-47bf-b9b0-895ea240f4de}\InProcServer32]
@="C:\WINDOWS\System32\tnvocyn.dll"


»»»»»»»»»»»»»»»»»»»»»»»» Scanning wininet.dll infection


»»»»»»»»»»»»»»»»»»»»»»»» End
Seitenanfang Seitenende
04.07.2006, 18:13
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#14 Information:
http://virus-protect.org/artikel/spyware/spyquake2.html
-------------------------------------------------------------------

1.
nun musst du mit option 2 das auch loeschen lassen !

2.
Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als neu.bat mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden. --> die neu.bat doppelt klicken--> kopiere den Text, der erscheint

Zitat

cd\
dir "C:\WINDOWS\system32\components" >>files.txt
dir "C:\Programme" >>files.txt
notepad files.txt

__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
04.07.2006, 19:07
Member

Themenstarter

Beiträge: 13
#15 Liebe Sabina!

Hier der Text von neu.bat:

Datentr„ger in Laufwerk C: ist PROGRAMME
Volumeseriennummer: 7877-D03F

Verzeichnis von C:\WINDOWS\system32\components

23.06.2006 22:11 <DIR> .
23.06.2006 22:11 <DIR> ..
0 Datei(en) 0 Bytes
2 Verzeichnis(se), 19.302.088.704 Bytes frei
Datentr„ger in Laufwerk C: ist PROGRAMME
Volumeseriennummer: 7877-D03F

Verzeichnis von C:\Programme

19.12.2003 21:43 <DIR> .
19.12.2003 21:43 <DIR> ..
19.12.2003 21:43 <DIR> Gemeinsame Dateien
20.12.2003 01:56 <DIR> Windows NT
20.12.2003 01:56 <DIR> MSN Gaming Zone
20.12.2003 01:56 <DIR> MSN
20.12.2003 01:56 <DIR> Online Services
20.12.2003 01:57 <DIR> ComPlus Applications
20.12.2003 01:57 <DIR> Internet Explorer
20.12.2003 01:57 <DIR> Outlook Express
20.12.2003 01:57 <DIR> NetMeeting
20.12.2003 01:57 <DIR> Windows Media Player
20.12.2003 01:58 <DIR> Movie Maker
20.12.2003 01:58 <DIR> Online-Dienste
20.12.2003 01:59 <DIR> microsoft frontpage
20.12.2003 01:59 <DIR> xerox
20.12.2003 02:53 <DIR> ASUS
20.12.2003 03:14 <DIR> Trend Micro
20.12.2003 03:15 <DIR> Adobe
20.12.2003 03:15 <DIR> ASUS Features
20.12.2003 03:22 <DIR> ASUSTek
20.12.2003 03:22 <DIR> CyberLink
20.12.2003 03:26 <DIR> Ahead
21.12.2003 01:58 <DIR> Pegasus
21.12.2003 02:00 <DIR> Lavasoft
21.12.2003 02:04 <DIR> Crazy Browser
21.12.2003 23:04 <DIR> Java
21.12.2003 23:06 <DIR> Microsoft Office
21.12.2003 23:13 <DIR> Microsoft Visual Studio
22.12.2003 01:04 <DIR> DaViDeo VCD SE
22.12.2003 01:05 <DIR> Symantec
22.12.2003 01:22 <DIR> Paint Shop Pro 5
22.12.2003 02:48 <DIR> InterVideo
26.12.2003 21:16 <DIR> Hewlett-Packard
27.12.2003 15:16 <DIR> ICQ
12.03.2006 11:24 1.278 INSTALL.LOG
28.12.2003 21:22 <DIR> Red Storm Entertainment
02.01.2004 20:26 <DIR> Logitech
03.01.2004 12:49 <DIR> WinMX(2)
01.02.2004 15:41 <DIR> BillP Studios
01.02.2004 15:42 <DIR> Alwil Software
01.02.2004 17:42 <DIR> MSXML 4.0
01.02.2004 17:52 <DIR> Common Files
01.02.2004 18:42 <DIR> Adobe Type Manager
01.02.2004 18:57 <DIR> PhotoDeluxe HE 3.1
01.02.2004 20:08 <DIR> Sygate
28.02.2004 20:04 <DIR> directx
29.02.2004 18:35 <DIR> RW_Easy01
10.04.2004 16:09 <DIR> QuickTime
24.04.2004 17:55 <DIR> Microsoft Nachschlagewerke
17.05.2004 19:28 <DIR> 0190 Warner
21.05.2004 22:23 <DIR> LucasArts
03.07.2004 23:19 <DIR> Rockstar Games
16.08.2004 13:30 <DIR> SkillSpace
08.09.2004 21:21 <DIR> WildTangent
14.11.2004 12:40 <DIR> ubi.com
01.12.2004 12:33 <DIR> Yahoo!
04.12.2004 20:27 <DIR> Real
03.01.2005 10:02 <DIR> AVPersonal
23.01.2005 21:50 <DIR> a2
04.03.2005 22:45 <DIR> Kazaa
04.03.2005 22:47 <DIR> INSTAFINK
18.03.2005 22:48 <DIR> Ares Lite Edition
18.03.2005 23:11 <DIR> StreamCast
20.03.2005 11:29 <DIR> MSN Apps
26.03.2005 16:31 <DIR> WIDCOMM
19.06.2005 09:41 <DIR> ICQLite
19.06.2005 09:42 <DIR> ICQToolbar
26.06.2005 19:54 <DIR> Oberon Media
08.07.2005 22:02 <DIR> aon
09.07.2005 20:36 <DIR> Haus Wohnung Garten 2005
19.07.2005 20:50 <DIR> Microsoft Games
08.12.2005 20:38 <DIR> ICRAplus
09.12.2005 17:19 <DIR> GameHouse
07.01.2006 19:47 <DIR> WinZip
11.01.2006 22:44 <DIR> THQ
09.04.2006 19:44 <DIR> Google
25.05.2006 10:35 <DIR> Zylom Games
27.05.2006 20:25 <DIR> Mobile Phone Manager
18.06.2006 15:55 <DIR> BoontyGames
03.07.2006 11:52 <DIR> CleanUp!
1 Datei(en) 1.278 Bytes
80 Verzeichnis(se), 19.302.088.704 Bytes frei

spyfalcon.reg habe ich durchgeführt und die anderen Punkte auch. Leider ist mir mein PC abgestürzt als ich gerade den 2. smitfraud Bericht losschicken wollte. ;)

Bei f-secure wurden 65 maleware und 2 viren gefunden. Habe alle entfernt, aber mein Browser hat mir den Report dann nicht geöffnet.

Dafür erscheint mittlerweile keine Spyware-Warnung mehr in der Taskleiste. Was ja leider nicht bedeutet, dass der Virus jetzt weg ist...

Auf jeden Fall DANKE für alles. Warte auf weitere Instruktionen. *bg*

Lg
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: