Spywarequake Lässt sich nicht löschen brauche Hilfe

#1 Hallo ich habe heute auf einmal dieses Programm Spywarequake auf dem Rechner gehabt. Habe meinen rechner erst formatiert gehabt deshalb noch keinen virenscanner oder so draufgehabt als ich sie nachträglich installiert habe und neugestartet habe startete vzwar windows aber sobald ich den Arbeitsplatz oder sowas öffnen wollte hängte sich der rechner auf. Habe darauf hin den Pc nochmals formatiert aber kaum hab ich ihn wieder gestartet war der mist schon wieder drauf. Habe hier mal die logs die ich posten soll. ich hoffe mir kann jemand schnell helfen.

Logfile of HijackThis v1.99.1
Scan saved at 21:07:57, on 12.07.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe
C:\WINDOWS\System32\oodag.exe
C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
C:\WINDOWS\system32\dcomcfg.exe
C:\WINDOWS\system32\atmclk.exe
C:\WINDOWS\system32\TCAUDIAG.exe
C:\Programme\Analog Devices\SoundMAX\SMax4PNP.exe
C:\Programme\Analog Devices\SoundMAX\Smax4.exe
C:\Programme\PCI Audio Applications\Bin\EchoCtrl.exe
C:\WINDOWS\Mixer.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\Programme\Xfire\Xfire.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Programme\SpyQuake2.com\Spy-Quake2.exe
C:\Programme\SpyQuake2.com\Spy-Quake2.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Dokumente und Einstellungen\Heinzen\Desktop\HijackThis.exe

O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: (no name) - {5f4c3d09-b3b9-4f88-aa82-31332fee1c08} - C:\WINDOWS\system32\hp100.tmp
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [TCASUTIEXE] TCAUDIAG.exe -on
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Programme\Analog Devices\SoundMAX\SMax4PNP.exe
O4 - HKLM\..\Run: [SoundMAX] "C:\Programme\Analog Devices\SoundMAX\Smax4.exe" /tray
O4 - HKLM\..\Run: [C-Media Echo Control] C:\Programme\PCI Audio Applications\Bin\EchoCtrl.exe
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\cli.exe" runtime -Delay
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [SpyQuake2.com] C:\Programme\SpyQuake2.com\Spy-Quake2.exe /h
O4 - Startup: Xfire.lnk = C:\Programme\Xfire\Xfire.exe
O4 - Global Startup: VIA RAID TOOL.lnk = C:\Programme\VIA\RAID\raid_tool.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1152721561406
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O21 - SSODL: cholecyst - {ee2975b6-e8d5-405e-8448-8fe9590f6cfb} - C:\WINDOWS\system32\mzoeut.dll
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: CA ISafe (CAISafe) - Computer Associates International, Inc. - C:\WINDOWS\system32\ZoneLabs\isafe.exe
O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\System32\oodag.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2006\WinStylerThemeSvc.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe



http://rapidshare.de/files/25669601/system32.txt.html
http://rapidshare.de/files/25669641/systemtemp.txt.html
http://rapidshare.de/files/25669692/system.txt.html
http://rapidshare.de/files/25669757/sys.txt.html

Verzeichnis von C:\WINDOWS\system32

12.07.2006 21:25 4.972 stdole3.tlb
12.07.2006 21:12 9.728 simpole.tlb
12.07.2006 21:12 60.416 hp100.tmp
12.07.2006 19:57 11.804 atmclk.exe
12.07.2006 19:57 4.286 ot.ico
12.07.2006 19:57 4.286 ts.ico
12.07.2006 19:57 92.160 dcomcfg.exe

#2 1.
spyfalcon.zip -> http://virus-protect.org/zip/spyfalcon.zip -> entpacken auf dem Desktop -> spyfalcon.reg ->doppeltklicken und der Registry mit "ja/yes" beifügen

2.
Avenger
http://virus-protect.org/artikel/tools/avenger.html
kopiere rein:

Zitat

Files to delete:
C:\Dokumente und Einstellungen\Heinzen\Lokale Einstellungen\Temp\SQLanguage.ini
C:\WINDOWS\system32\stdole3.tlb
C:\WINDOWS\system32\simpole.tlb
C:\WINDOWS\system32\atmclk.exe
C:\WINDOWS\system32\ot.ico
C:\WINDOWS\system32\ts.ico
C:\WINDOWS\system32\dcomcfg.exe
C:\WINDOWS\system32\mzoeut.dll

Klicke die gruene Ampel
das Script wird nun ausgeführt, dann wird der PC automatisch neustarten

3.
arbeite smitfraudfix genau ab
http://virus-protect.org/artikel/tools/smitfrautfix.html

4.
Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als listen.bat mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden. --> die listen.bat doppelt klicken--> kopiere den Text, der erscheint

Zitat

cd\
dir "C:\WINDOWS\Downloaded Program Files" >>files.txt
dir "C:\Dokumente und Einstellungen\%UserName%\Lokale Einstellungen\Temp" >>files.txt
dir "C:\WINDOWS\Temp" >>files.txt
dir "C:\Temp" >>files.txt
dir "C:\Programme" >>files.txt
notepad files.txt

__________
MfG Sabina

rund um die PC-Sicherheit

#3 So das ist der text der in der files.txt stand die listen.bak erstellt hat. Bis jetzt Läuft mein Rechner wieder einwandfrei, ich kann Zonealarm wieder starten lassen ohne das sich der Rechner aufhängt. Vielen Dank für die Schnelle Hilfe. Eins wüsste ich aber noch gerne, wie hab ich mir den virus den eingefangen? Ich habe keine ahnung wo der her sein könnte.

Gruss Dennis
Datentr„ger in Laufwerk C: ist New Volume
Volumeseriennummer: 1CCE-A09F

Verzeichnis von C:\WINDOWS\Downloaded Program Files

14.10.1997 18:52 697 DirectAnimation Java Classes.osd
07.06.2006 11:09 1.249 erma.inf
15.05.2006 18:48 367 LegitCheckControl.inf
20.01.2000 15:25 1.162 Microsoft XML Parser for Java.osd
22.06.2006 11:41 5.032 swflash.inf
26.05.2005 04:19 291 wuweb.inf
6 Datei(en) 8.798 Bytes
0 Verzeichnis(se), 216.271.806.464 Bytes frei
Datentr„ger in Laufwerk C: ist New Volume
Volumeseriennummer: 1CCE-A09F

Verzeichnis von C:\Dokumente und Einstellungen\Heinzen\Lokale Einstellungen\Temp

13.07.2006 14:52 <DIR> .
13.07.2006 14:52 <DIR> ..
13.07.2006 12:40 <DIR> ff_temp
13.07.2006 13:19 <DIR> isp40.tmp
12.07.2006 17:39 <DIR> O&O Defrag Professional
13.07.2006 01:28 <DIR> Rar$DR00.078
13.07.2006 01:06 <DIR> Rar$DR00.390
13.07.2006 01:52 <DIR> Rar$DR00.688
13.07.2006 13:29 <DIR> Rar$DR00.891
12.07.2006 16:57 <DIR> _is156
12.07.2006 16:45 <DIR> _ISTMP1.DIR
13.07.2006 14:34 <DIR> ~nsu.tmp
0 Datei(en) 0 Bytes
12 Verzeichnis(se), 216.271.802.368 Bytes frei
Datentr„ger in Laufwerk C: ist New Volume
Volumeseriennummer: 1CCE-A09F

Verzeichnis von C:\WINDOWS\Temp

13.07.2006 14:40 <DIR> .
13.07.2006 14:40 <DIR> ..
08.07.2006 02:37 104 0CF6E057.TMP
12.07.2006 19:38 16.384 Perflib_Perfdata_2dc.dat
12.07.2006 19:57 3.016.937 sa1F2.exe
13.07.2006 14:49 255 WGAErrLog.txt
13.07.2006 14:40 409 WGANotify.settings
12.07.2006 20:34 256 ZLT01979.TMP
12.07.2006 20:34 256 ZLT0197d.TMP
7 Datei(en) 3.034.601 Bytes
2 Verzeichnis(se), 216.271.802.368 Bytes frei
Datentr„ger in Laufwerk C: ist New Volume
Volumeseriennummer: 1CCE-A09F

Verzeichnis von C:\

Datentr„ger in Laufwerk C: ist New Volume
Volumeseriennummer: 1CCE-A09F

Verzeichnis von C:\Programme

13.07.2006 13:22 <DIR> .
13.07.2006 13:22 <DIR> ..
13.07.2006 13:13 <DIR> 18 Wheels of Steel Convoy
12.07.2006 17:21 <DIR> 18 WoS Voll aufs Gas
12.07.2006 20:03 <DIR> Adobe
12.07.2006 17:09 <DIR> Alcohol Soft
12.07.2006 16:44 <DIR> Analog Devices
12.07.2006 17:35 <DIR> AntiVir PersonalEdition Classic
12.07.2006 16:45 <DIR> ASUS
12.07.2006 19:45 <DIR> ATI Technologies
12.07.2006 21:09 <DIR> CleanUp!
12.07.2006 16:24 <DIR> ComPlus Applications
12.07.2006 19:59 <DIR> Gemeinsame Dateien
12.07.2006 17:27 <DIR> ICQLite
12.07.2006 19:26 <DIR> Internet Explorer
12.07.2006 19:28 <DIR> Messenger
12.07.2006 16:26 <DIR> microsoft frontpage
12.07.2006 17:14 <DIR> Microsoft Office
12.07.2006 19:04 <DIR> Movie Maker
13.07.2006 14:38 <DIR> Mozilla Firefox
12.07.2006 16:23 <DIR> MSN
12.07.2006 16:23 <DIR> MSN Gaming Zone
12.07.2006 19:03 <DIR> NetMeeting
12.07.2006 16:23 <DIR> Online Services
12.07.2006 16:25 <DIR> Online-Dienste
12.07.2006 17:40 <DIR> OO Software
12.07.2006 19:23 <DIR> Outlook Express
12.07.2006 16:48 <DIR> PCI Audio Applications
13.07.2006 13:37 <DIR> Rockstar Games
13.07.2006 14:09 <DIR> TuneUp Utilities 2006
12.07.2006 16:41 <DIR> VIA
12.07.2006 19:23 <DIR> Windows Media Connect 2
12.07.2006 19:04 <DIR> Windows Media Player
12.07.2006 19:03 <DIR> Windows NT
12.07.2006 17:07 <DIR> WinRAR
12.07.2006 16:26 <DIR> xerox
12.07.2006 20:23 <DIR> Yahoo!
12.07.2006 20:30 <DIR> Zone Labs
0 Datei(en) 0 Bytes
38 Verzeichnis(se), 216.271.798.272 Bytes frei

#4 1.
loesche:

C:\WINDOWS\Temp\sa1F2.exe

C:\Dokumente und Einstellungen\Heinzen\Lokale Einstellungen\Temp
13.07.2006 14:34 <DIR> ~nsu.tmp

-------------------------------------------------------------------------
2.
fixe mit dem HijackThis, falls es noch vorhanden ist:

O21 - SSODL: cholecyst - {ee2975b6-e8d5-405e-8448-8fe9590f6cfb} - C:\WINDOWS\system32\mzoeut.dll

dann sollte wieder alles o.k. sein
__________
MfG Sabina

rund um die PC-Sicherheit

#5 Vielen Dank für die schnelle hilfe