Home » Viren, Trojaner & Malware Forum » SpywareQuake - Zu blöd für die Anleitung » Themenansicht

SpywareQuake - Zu blöd für die Anleitung
#0
09.07.2006, 11:49
profipimp
...neu hier

Beiträge: 1
#1 Hallo Leute, das ist mein erster Post, weil ich das erste mal wirkliche Probleme habe, etwas loszuwerden. Ich habe das Problem auf SpywareQuake reduzieren können. Ich hoffe ihr könnt mir helfen. :-)

Danke im voraus.

HiJackThis.log

Logfile of HijackThis v1.99.1
Scan saved at 11:41:04, on 09.07.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
I:\WINDOWS\System32\smss.exe
I:\WINDOWS\system32\winlogon.exe
I:\WINDOWS\system32\services.exe
I:\WINDOWS\system32\lsass.exe
I:\WINDOWS\system32\Ati2evxx.exe
I:\WINDOWS\system32\svchost.exe
I:\WINDOWS\system32\svchost.exe
I:\WINDOWS\system32\spoolsv.exe
I:\Programme\AntiVir PersonalEdition Classic\sched.exe
I:\Programme\AntiVir PersonalEdition Classic\avguard.exe
I:\WINDOWS\system32\cisvc.exe
I:\WINDOWS\system32\inetsrv\inetinfo.exe
I:\WINDOWS\System32\snmp.exe
I:\WINDOWS\system32\cidaemon.exe
I:\WINDOWS\system32\cidaemon.exe
I:\WINDOWS\system32\Ati2evxx.exe
I:\WINDOWS\system32\userinit.exe
I:\WINDOWS\Explorer.EXE
I:\WINDOWS\system32\dcomcfg.exe
I:\Programme\Java\jre1.5.0_06\bin\jusched.exe
I:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
I:\Programme\Gemeinsame Dateien\{A8002B63-07D2-1031-1230-050407210031}\Update.exe
I:\WINDOWS\system32\imapi.exe
I:\Dokumente und Einstellungen\Philip\Desktop\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.macromedia.com/go/startpage_ft_fl
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - J:\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: (no name) - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - (no file)
O4 - HKLM\..\Run: [SunJavaUpdateSched] I:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [avgnt] "I:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [Skype] "J:\Skype\Skype.exe" /nosplash /minimized
O8 - Extra context menu item: Alles mit FlashGet laden - J:\Programme\FlashGet\jc_all.htm
O8 - Extra context menu item: Convert link target to Adobe PDF - res://J:\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convert link target to existing PDF - res://J:\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convert selected links to Adobe PDF - res://J:\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Convert selected links to existing PDF - res://J:\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Convert selection to Adobe PDF - res://J:\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convert selection to existing PDF - res://J:\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convert to Adobe PDF - res://J:\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convert to existing PDF - res://J:\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Mit FlashGet laden - J:\Programme\FlashGet\jc_link.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - I:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - I:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - J:\PROGRA~1\FlashGet\flashget.exe (file missing)
O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - J:\PROGRA~1\FlashGet\flashget.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - I:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - I:\Programme\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1042840193906
O21 - SSODL: furnariidae - {89e4aaba-3b21-49b3-b922-8ca35193c68e} - I:\WINDOWS\system32\zlara.dll
O23 - Service: Adobe LM Service - Adobe Systems - I:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Adobe Version Cue CS2 - Unknown owner - J:\Adobe\Adobe Version Cue CS2\bin\VersionCueCS2.exe" -win32service (file missing)
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - I:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - AVIRA GmbH - I:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - I:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - I:\WINDOWS\system32\ati2sgag.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - J:\Programme\TuneUp Utilities 2006\WinStylerThemeSvc.exe

system32.txt:
Datentr„ger in Laufwerk I: ist Win XP
Volumeseriennummer: A800-2B63

Verzeichnis von I:\WINDOWS\system32

30.09.2007 00:00 536.576 MSVCR70d.dll -> man beachte das Datum ;)
09.07.2006 11:41 588.748 yccdd.ini
09.07.2006 11:40 8.704 simpole.tlb
09.07.2006 11:40 49.152 hp100.tmp
09.07.2006 11:30 4.952 stdole3.tlb
09.07.2006 10:59 588.693 yccdd.bak2
08.07.2006 18:47 143 mcrh.tmp
08.07.2006 18:18 623.709 yccdd.bak1
08.07.2006 18:18 569.396 ddccy.dll
08.07.2006 18:16 76.288 dcomcfg.exe
08.07.2006 18:14 59.408 ld101.tmp
07.07.2006 21:19 4.286 ot.ico
07.07.2006 21:19 4.286 ts.ico
07.07.2006 19:21 39.437 fccywvv.dll
07.07.2006 19:21 70.672 regperf.exe.vir
07.07.2006 19:21 18.432 winmhv32.dll
07.07.2006 19:11 2.206 wpa.dbl
22.06.2006 12:47 181.248 rasmans.dll
20.06.2006 12:35 57.384 avsda.dll
09.06.2006 03:19 5.967.776 MRT.exe
01.06.2006 20:47 163.840 jgdw400.dll
01.06.2006 20:47 27.648 jgpl400.dll
29.05.2006 17:30 1.494.016 shdocvw.dll
19.05.2006 17:09 3.073.536 mshtml.dll
18.05.2006 07:36 450.560 jscript.dll
11.05.2006 10:57 27.136 xpsp3res.dll
10.05.2006 07:23 664.064 wininet.dll
10.05.2006 07:22 474.624 shlwapi.dll
10.05.2006 07:22 615.936 urlmon.dll
10.05.2006 07:22 146.432 msrating.dll
10.05.2006 07:22 532.480 mstime.dll
10.05.2006 07:22 448.512 mshtmled.dll
10.05.2006 07:22 39.424 pngfilt.dll
10.05.2006 07:22 96.768 inseng.dll
10.05.2006 07:22 16.384 jsproxy.dll
10.05.2006 07:22 205.312 dxtrans.dll
10.05.2006 07:22 1.056.256 danim.dll
10.05.2006 07:22 251.392 iepeers.dll
10.05.2006 07:22 55.808 extmgr.dll
10.05.2006 07:22 357.888 dxtmsft.dll
10.05.2006 07:22 152.064 cdfview.dll
10.05.2006 07:22 1.022.976 browseui.dll

Systemtemp.txt:

Datentr„ger in Laufwerk I: ist Win XP
Volumeseriennummer: A800-2B63

Verzeichnis von I:\DOKUME~1\Philip\LOKALE~1\Temp

system.txt:

Datentr„ger in Laufwerk I: ist Win XP
Volumeseriennummer: A800-2B63

Verzeichnis von I:\WINDOWS

09.07.2006 11:42 3.468.107 pfirewall.log
09.07.2006 11:20 2.073.846 WindowsUpdate.log
09.07.2006 11:14 0 0.log
09.07.2006 11:13 2.048 bootstat.dat
09.07.2006 11:08 32.536 SchedLgU.Txt
08.07.2006 20:21 171.732 ntbtlog.txt
08.07.2006 20:05 0 explorer.exe.Z-missing.txt
08.07.2006 19:36 907.879 setupapi.log
08.07.2006 19:09 477 win.ini
08.07.2006 19:09 274 system.ini
07.07.2006 19:13 1.059.451 iis6.log
07.07.2006 19:13 176.705 comsetup.log
07.07.2006 19:13 112.449 ntdtcsetup.log
07.07.2006 19:13 1.355 imsins.log
07.07.2006 19:13 25.306 ocmsn.log
07.07.2006 19:13 21.125 tabletoc.log
07.07.2006 19:13 222.264 tsoc.log
07.07.2006 19:13 11.079 KB911280.log
07.07.2006 19:13 76.951 netfxocm.log
07.07.2006 19:13 33.168 MedCtrOC.log
07.07.2006 19:13 269.684 ocgen.log
07.07.2006 19:13 23.592 msgsocm.log
07.07.2006 19:13 420.613 FaxSetup.log
07.07.2006 19:13 177.748 msmqinst.log
07.07.2006 19:13 22.552 updspapi.log
02.07.2006 19:00 282.551 setupact.log
22.06.2006 12:02 116 NeroDigital.ini
19.06.2006 12:34 2.737 spupdsvc.log
17.06.2006 16:22 1.374 imsins.BAK
17.06.2006 16:22 10.815 KB917734.log
17.06.2006 16:22 41.659 wmsetup.log
17.06.2006 16:22 13.597 KB918439.log
17.06.2006 16:21 13.958 KB917344.log
17.06.2006 16:21 13.730 KB917953.log
17.06.2006 16:21 17.459 KB916281.log
17.06.2006 16:21 11.505 KB914389.log
07.06.2006 20:52 4.194.471 pfirewall.log.old
13.05.2006 10:38 12.093 KB913580.log

sys.txt:

Datentr„ger in Laufwerk I: ist Win XP
Volumeseriennummer: A800-2B63

Verzeichnis von I:\

09.07.2006 11:43 0 sys.txt
09.07.2006 11:43 8.750 system.txt
09.07.2006 11:42 127 systemtemp.txt
09.07.2006 11:41 100.965 system32.txt
09.07.2006 11:13 1.073.008.640 hiberfil.sys
09.07.2006 11:13 1.610.612.736 pagefile.sys
09.07.2006 11:12 792 VundoFix.txt
31.10.2005 17:56 700.416 StubInstaller.exe
03.08.2004 23:59 251.184 ntldr
03.08.2004 23:38 47.564 NTDETECT.COM
06.09.2002 14:54 210 boot.ini
18.08.2001 14:00 4.952 bootfont.bin
12 Datei(en) 2.684.736.336 Bytes
0 Verzeichnis(se), 3.309.838.336 Bytes frei
Seitenanfang Seitenende
10.07.2006, 04:19
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#2 profipimp

30.09.2007 00:00 536.576 MSVCR70d.dll -> man beachte das Datum

1.
virustotal
Oben auf der Seite --> auf Durchsuchen klicken --> Datei mit korrektem Pfad einkopieren) --> Doppelklick auf die zu prüfende Datei --> klick auf Submit... jetzt abwarten -> poste den report
http://www.virustotal.com/flash/index_en.html

I:\WINDOWS\system32\MSVCR70d.dll

---------------------------------------------------------------------------
2.
Vundofix
http://virus-protect.org/artikel/tools/vundofixx.html

3.
Avenger
http://virus-protect.org/artikel/tools/avenger.html

kopiere rein:

Zitat

Files to delete:
I:\WINDOWS\explorer.exe.Z-missing.txt
I:\WINDOWS\system32\yccdd.ini
I:\WINDOWS\system32\simpole.tlb
I:\WINDOWS\system32\stdole3.tlb
I:\WINDOWS\system32\yccdd.bak2
I:\WINDOWS\system32\mcrh.tmp
I:\WINDOWS\system32\yccdd.bak1
I:\WINDOWS\system32\ddccy.dll
I:\WINDOWS\system32\dcomcfg.exe
I:\WINDOWS\system32\ot.ico
I:\WINDOWS\system32\ts.ico
I:\WINDOWS\system32\fccywvv.dll
I:\WINDOWS\system32\regperf.exe.vir
I:\WINDOWS\system32\winmhv32.dll
I:\WINDOWS\system32\zlara.dll
Klicke die gruene Ampel
das Script wird nun ausgeführt, dann wird der PC automatisch neustarten

4.
öffne das HijackThis -- Button "scan" -- vor die Malware-Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten

Zitat

O21 - SSODL: furnariidae - {89e4aaba-3b21-49b3-b922-8ca35193c68e} - I:\WINDOWS\system32\zlara.dll
pc neustarten

5.
smitfraudfix genau nach Anleitung abarbeiten (poste den report von option 1 und 2)
http://virus-protect.org/artikel/tools/smitfrautfix.html

6.
scanne mit ewido und poste den scanreport
http://virus-protect.org/ewido.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren:
Seite(n): 1