Spywarequake...

#0
13.07.2006, 16:02
...neu hier

Beiträge: 1
#1 Hallo!
Habe das beschriebene Problem mit Spywarequake...

Hier die erforderlichen Schritte abgearbeitet... Bitte um Hilfe:


Logfile of HijackThis v1.99.1
Scan saved at 14:51:28, on 13.07.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\Programme\Java\jre1.5.0_02\bin\jusched.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\Programme\hpq\HP Wireless Assistant\HP Wireless Assistant.exe
C:\Programme\Hp\HP Software Update\HPWuSchd2.exe
C:\Programme\HPQ\Quick Launch Buttons\EabServr.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\Messenger\msmsgs.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\iPod\bin\iPodService.exe
C:\Programme\HPQ\SHARED\HPQWMI.exe
C:\Programme\Vodafone\Vodafone Mobile Connect\VMConnect.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\DOKUME~1\MARLIE~1\LOKALE~1\Temp\Temporäres Verzeichnis 1 für hijackthis.zip\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iesearch&locale=DE_DE&c=Q305&bd=pavilion&pf=laptop
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.yahoo.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iehome&locale=DE_DE&c=Q305&bd=pavilion&pf=laptop
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iehome&locale=DE_DE&c=Q305&bd=pavilion&pf=laptop
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {5753791b-f607-48ca-814e-91c14d081f9e} - C:\Programme\Media-Codec\isaddon.dll (file missing)
O3 - Toolbar: Protection Bar - {d1ac752e-883f-4ed8-8828-b618c3a72152} - C:\Programme\Media-Codec\iesplugin.dll (file missing)
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_02\bin\jusched.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [LSBWatcher] c:\hp\drivers\hplsbwatcher\lsburnwatcher.exe
O4 - HKLM\..\Run: [iTunesHelper] C:\Programme\iTunes\iTunesHelper.exe
O4 - HKLM\..\Run: [hpWirelessAssistant] C:\Programme\hpq\HP Wireless Assistant\HP Wireless Assistant.exe
O4 - HKLM\..\Run: [HP Software Update] C:\Programme\Hp\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [eabconfg.cpl] C:\Programme\HPQ\Quick Launch Buttons\EabServr.exe /Start
O4 - HKLM\..\Run: [Cpqset] C:\Programme\HPQ\Default Settings\cpqset.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=http://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iehome&locale=DE_DE&c=Q305&bd=pavilion&pf=laptop
O17 - HKLM\System\CCS\Services\Tcpip\..\{037D9453-7B53-464A-91A2-6294E5D91132}: NameServer = 194.48.139.254 194.48.124.202
O17 - HKLM\System\CS1\Services\Tcpip\..\{037D9453-7B53-464A-91A2-6294E5D91132}: NameServer = 194.48.139.254 194.48.124.202
O21 - SSODL: coursings - {f8d02387-789a-4c0f-a1d8-8a93f33ee4df} - C:\WINDOWS\system32\yephk.dll
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: HP WMI Interface (hpqwmi) - Hewlett-Packard Development Company, L.P. - C:\Programme\HPQ\SHARED\HPQWMI.exe
O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Unknown owner - C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe

Logfiles:

System32

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 6384-4FFC

Verzeichnis von C:\WINDOWS\system32

13.07.2006 14:24 380.684 perfh009.dat
13.07.2006 14:24 53.098 perfc009.dat
13.07.2006 14:24 391.574 perfh007.dat
13.07.2006 14:24 63.976 perfc007.dat
13.07.2006 14:24 897.778 PerfStringBackup.INI
12.07.2006 09:40 1.158 wpa.dbl
07.07.2006 03:21 6.757.792 MRT.exe
22.06.2006 12:47 181.248 rasmans.dll
11.06.2006 13:32 57.384 avsda.dll
01.06.2006 20:47 27.648 jgpl400.dll
01.06.2006 20:47 163.840 jgdw400.dll
29.05.2006 17:30 1.494.016 shdocvw.dll
19.05.2006 17:09 3.073.536 mshtml.dll
19.05.2006 15:09 95.744 iphlpapi.dll
19.05.2006 15:09 148.480 dnsapi.dll
19.05.2006 15:09 112.128 dhcpcsvc.dll
18.05.2006 07:36 450.560 jscript.dll
11.05.2006 10:57 27.136 xpsp3res.dll
10.05.2006 07:23 664.064 wininet.dll
10.05.2006 07:22 615.936 urlmon.dll
10.05.2006 07:22 474.624 shlwapi.dll
10.05.2006 07:22 532.480 mstime.dll
10.05.2006 07:22 39.424 pngfilt.dll
10.05.2006 07:22 448.512 mshtmled.dll
10.05.2006 07:22 146.432 msrating.dll
10.05.2006 07:22 16.384 jsproxy.dll
10.05.2006 07:22 96.768 inseng.dll
10.05.2006 07:22 205.312 dxtrans.dll
10.05.2006 07:22 1.056.256 danim.dll
10.05.2006 07:22 251.392 iepeers.dll
10.05.2006 07:22 357.888 dxtmsft.dll
10.05.2006 07:22 55.808 extmgr.dll
10.05.2006 07:22 1.022.976 browseui.dll
10.05.2006 07:22 152.064 cdfview.dll
29.04.2006 06:07 5.533.696 wmp.dll
17.03.2006 11:11 679.424 inetcomm.dll
17.03.2006 06:03 8.493.056 shell32.dll
17.03.2006 02:38 28.672 verclsid.exe
05.03.2006 00:12 2.953 CONFIG.NT
04.03.2006 23:22 100 LuResult.txt
01.03.2006 21:43 426.496 msdtcprx.dll
01.03.2006 21:43 956.416 msdtctm.dll
01.03.2006 21:43 161.280 msdtcuiu.dll
01.03.2006 21:43 91.136 mtxoci.dll
01.03.2006 21:43 66.560 mtxclu.dll
01.03.2006 21:43 11.776 xolehlp.dll
30.01.2006 16:40 169.096 FNTCACHE.DAT


temp:

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 6384-4FFC

Verzeichnis von C:\DOKUME~1\MARLIE~1\LOKALE~1\Temp

13.07.2006 15:15 57.856 ~WRS0000.tmp
13.07.2006 15:15 512 ~DF317A.tmp
13.07.2006 14:20 236.558 LSBurnWatcher.log
13.07.2006 14:20 61.821 jusched.log
13.07.2006 13:43 1.107.668 Gua4.tmp
13.07.2006 13:43 1.107.668 Gua3.tmp
12.07.2006 15:24 3.016.937 saE.exe
12.07.2006 15:22 65.172 tmpD.tmp
12.07.2006 10:05 717 control.xml
12.07.2006 09:45 46 wecerr.txt
06.07.2006 01:02 104 0CF6E057.TMP
15.06.2006 19:56 2.080 java_install_reg.log
15.06.2006 13:53 797.676 IMT12.xml
15.06.2006 13:53 426 IMT11.xml
15.06.2006 13:53 2.036 IMT10.xml
02.05.2006 14:41 94.182 MSI67729.LOG
02.05.2006 14:41 94.182 MSI67728.LOG
02.05.2006 14:30 16.384 3.tmp
02.05.2006 14:30 22.528 mso148.xls
26.04.2006 10:16 0 DSC00031 (2).jpg
26.04.2006 10:10 0 DSC00031.jpg
04.03.2006 23:28 77.484 symcprop.dat
04.03.2006 23:24 410 SYMDEL.bat
04.03.2006 23:24 6.195.654 Norton Internet Security 3-4-2006 22h20m53s.log
04.03.2006 23:24 3.146 LSInstall.log
04.03.2006 23:24 222 SNDunin.log
04.03.2006 23:23 75 IDSinst.LOG
04.03.2006 23:21 124 AVRES_OPTRF_LiveUpdate.dat
04.02.2006 11:53 1.105 Outlook Startup.Log
13.01.2006 22:52 0 DSC00057.jpg
25.12.2005 20:32 279.122 Office 2000 Premium Setup(0002)_MsiExec.txt
25.12.2005 20:23 30.091 offcln9.log
25.12.2005 20:23 1.754 Office 2000 Premium Setup(0002).txt
25.12.2005 04:11 0 ODY2
25.12.2005 04:09 0 7ca32c.mst
25.12.2005 04:09 0 7ca32b.mst
19.12.2005 01:23 5.856 sdpintl.ini
19.12.2005 01:23 317 delmodem.ini
17.05.2005 18:36 45.568 7ca32d.mst
39 Datei(en) 13.325.481 Bytes
0 Verzeichnis(se), 70.445.465.600 Bytes frei



windows:


Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 6384-4FFC

Verzeichnis von C:\WINDOWS

13.07.2006 15:21 13.246 ModemLog_Fusion UMTS Quad-GPRS - 3G Modem.txt
13.07.2006 14:30 50 wiaservc.log
13.07.2006 14:30 159 wiadebug.log
13.07.2006 14:26 1.362.422 WindowsUpdate.log
13.07.2006 14:20 0 0.log
13.07.2006 14:20 2.048 bootstat.dat
13.07.2006 14:19 32.618 SchedLgU.Txt
13.07.2006 13:42 227 system.ini
13.07.2006 13:42 573 win.ini
12.07.2006 12:56 88.799 ntdtcsetup.log
12.07.2006 12:56 149.456 comsetup.log
12.07.2006 12:56 66.024 iis6.log
12.07.2006 12:56 1.374 imsins.log
12.07.2006 12:56 23.115 ocmsn.log
12.07.2006 12:56 164.136 tsoc.log
12.07.2006 12:56 13.868 KB917159.log
12.07.2006 12:56 20.956 msgsocm.log
12.07.2006 12:56 204.225 ocgen.log
12.07.2006 12:56 413.463 FaxSetup.log
12.07.2006 12:56 793.324 setupapi.log
12.07.2006 12:56 1.374 imsins.BAK
12.07.2006 12:56 14.434 KB914388.log
12.07.2006 12:56 19.145 updspapi.log
12.07.2006 12:56 12.661 KB916595.log
12.07.2006 10:05 66.420 wmsetup.log
30.06.2006 14:54 16.107 KB911280.log
19.06.2006 17:49 2.737 spupdsvc.log
19.06.2006 15:00 12.763 KB917734.log
19.06.2006 15:00 16.146 KB918439.log
19.06.2006 15:00 16.503 KB917344.log
19.06.2006 15:00 16.278 KB917953.log
19.06.2006 15:00 20.446 KB916281.log
17.06.2006 12:24 12.545 KB914389.log
22.05.2006 15:20 0 pcfriend.INI
10.05.2006 10:03 13.804 KB913580.log
03.05.2006 15:13 3.746 ModemLog_AC97 Data Fax SoftModem with SmartCP.txt
25.04.2006 22:02 13.472 KB900485.log
13.04.2006 20:03 17.039 KB908531.log
13.04.2006 20:03 16.280 KB911562.log
13.04.2006 20:03 18.367 KB912812.log
13.04.2006 20:03 17.137 KB911565.log
13.04.2006 20:03 12.855 KB911567.log
05.03.2006 00:13 902 EPW360.LOG
17.02.2006 16:53 11.795 KB911927.log
17.02.2006 16:53 8.120 KB911564.log
15.02.2006 12:50 7.008 KB913446.log
30.01.2006 12:18 22.814 KB899587.log
30.01.2006 12:18 21.752 KB896422.log
30.01.2006 12:18 22.087 KB901017.log
30.01.2006 12:18 22.413 KB899591.log
30.01.2006 12:18 22.508 KB896424.log
30.01.2006 12:18 22.375 KB893756.log
30.01.2006 12:17 21.139 KB887742.log
30.01.2006 12:17 30.269 KB896358.log
30.01.2006 12:17 24.046 KB905915.log
30.01.2006 12:17 21.224 KB902400.log
30.01.2006 12:17 14.034 KB901214.log
30.01.2006 12:17 13.540 KB905749.log
30.01.2006 12:16 13.680 KB908519.log
21.01.2006 22:55 14.621 KB910437.log
21.01.2006 22:55 19.478 KB890046.log
21.01.2006 22:55 18.869 KB893066.log
21.01.2006 22:55 19.211 KB905414.log
21.01.2006 22:55 19.602 KB900725.log
21.01.2006 22:54 17.354 KB912919.log
21.01.2006 22:54 16.543 KB904706.log
21.01.2006 22:54 16.428 KB896428.log
21.01.2006 22:54 16.902 KB894391.log
21.01.2006 22:54 17.084 KB890859.log
21.01.2006 22:16 4.095 KB898458.log
20.01.2006 20:25 13.348 KB896423.log
07.01.2006 00:03 8.784 KB893803v2.log
05.01.2006 17:18 7.343 KB898461.log

c:

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 6384-4FFC

Verzeichnis von C:\

13.07.2006 15:24 0 sys.txt
13.07.2006 15:23 7.919 system.txt
13.07.2006 15:22 2.264 systemtemp.txt
13.07.2006 15:20 91.795 system32.txt
13.07.2006 14:20 938.004.480 hiberfil.sys
13.07.2006 14:20 1.409.286.144 pagefile.sys
13.07.2006 13:42 211 boot.ini
05.03.2006 00:12 0 MSDOS.SYS
05.03.2006 00:12 0 IO.SYS
04.08.2004 10:00 4.952 bootfont.bin
04.08.2004 10:00 251.184 ntldr
04.08.2004 10:00 47.564 ntdetect.com
12 Datei(en) 2.347.696.513 Bytes
0 Verzeichnis(se), 70.445.424.640 Bytes frei
Seitenanfang Seitenende
13.07.2006, 23:55
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#2 plazebi

Download Registry Search by Bobbi Flekman
http://virus-protect.org/artikel/tools/regsearch.html
und doppelklicken, um zu starten. in: "Enter search strings" (reinschreiben oder reinkopieren)

{5753791b-f607-48ca-814e-91c14d081f9e}

in edit und klicke "Ok".
Notepad wird sich oeffnen -- kopiere den Text ab und poste ihn.

gleiches bitte mit:

{d1ac752e-883f-4ed8-8828-b618c3a72152}
{f8d02387-789a-4c0f-a1d8-8a93f33ee4df}

----------------------------------------------------------------------------

Avenger
http://virus-protect.org/artikel/tools/avenger.html
kopiere rein:

Zitat

registry keys to delete:

HKEY_CLASSES_ROOT\EMediaCodec.Chl
HKEY_CLASSES_ROOT\AVZipEnchancer.Chl
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\App Paths\ecodec.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Media-Codec

Files to delete:

C:\WINDOWS\system32\yephk.dll
C:\Dokumente und Einstellungen\Marlies Zebinger\Lokale Einstellungen\Temp\Gua4.tmp
C:\Dokumente und Einstellungen\Marlies Zebinger\Lokale Einstellungen\Temp\Gua3.tmp
C:\Dokumente und Einstellungen\Marlies Zebinger\Lokale Einstellungen\Temp\saE.exe
C:\Dokumente und Einstellungen\Marlies Zebinger\Lokale Einstellungen\Temp\tmpD.tmp
Klicke die gruene Ampel
das Script wird nun ausgeführt, dann wird der PC automatisch neustarten

öffne das HijackThis -- Button "scan" -- vor die Malware-Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten


Zitat

O2 - BHO: (no name) - {5753791b-f607-48ca-814e-91c14d081f9e} - C:\Programme\Media-Codec\isaddon.dll (file missing)
O3 - Toolbar: Protection Bar - {d1ac752e-883f-4ed8-8828-b618c3a72152} - C:\Programme\Media-Codec\iesplugin.dll (file missing)
O21 - SSODL: coursings - {f8d02387-789a-4c0f-a1d8-8a93f33ee4df} - C:\WINDOWS\system32\yephk.dll
**
deinstalliere, loesche: C:\Programme\Media-Codec

**
Arbeitsplatz-->Rechtsklick, dann auf Eigenschaften--->Reiter Systemwiederherstellung--->Häkchen setzen bei Systemwiederherstellung auf allen Laufwerken deaktivieren.
(dann wieder aktivieren)
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: