spyquake.com entfernen? [edit]

#1 guten tag allerseits.
ich habe es gestern durch trotteligkeit geschafft mir den spyquake virus einzufangen. zwar habe ich bis jetzt keine schlimmeren fehler feststellen können, aber schon das ständige blinken und die pop-ups gehen mir ziemlich auf die nerven.
darum bitte ich um hilfe, da ich selbst jetzt nich so besonders die rießen ahnung habe, hab bis jetzt nur antivir und adaware drüber laufen lassen, brachte aber beides nicht viel.hab mich hier im forum nur ma son bißchen umgeschaut, wurde aber nicht aus allem schlau. gibts hoffnung das ding so wegzukriegen, ohne das ich formatiern und mein system ne aufsetzen muss? das wär recht schön. ich hab halt imo irgendwie schiss vor nem datenverlust. ich bitte um verzeihung, da dieses problem hier wohl schon oft vorgetragen wurde, doch ich check das immoment nicht so ganz und hab schiss da irgendwie scheisse zu baun, weil ich eben von würmen, trojanern, viren etc so gut wie gar keine ahnung habe.
ich danke schon mal herzlich im vorraus, hier mein hijack log:

Logfile of HijackThis v1.99.1
Scan saved at 11:01:27, on 09.07.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe
c:\APPS\Powercinema\Kernel\TV\CLCapSvc.exe
c:\APPS\Powercinema\Kernel\CLML_NTService\CLMLServer.exe
c:\APPS\HIDSERVICE\HIDSERVICE.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Apps\Softex\OmniPass\Omniserv.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Gemeinsame Dateien\Ulead Systems\DVD\ULCDRSvr.exe
c:\APPS\Powercinema\Kernel\TV\CLSched.exe
C:\Apps\Softex\OmniPass\OPXPApp.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\ishost.exe
C:\WINDOWS\system32\issearch.exe
C:\WINDOWS\system32\isnotify.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Programme\Java\jre1.5.0_04\bin\jusched.exe
C:\WINDOWS\system32\ismon.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\PROGRA~1\GOTOSO~1\VADERE~1\Vaderetro_oe.exe
C:\Apps\Softex\OmniPass\scureapp.exe
C:\Programme\Gemeinsame Dateien\Ulead Systems\AutoDetector\monitor.exe
C:\APPS\Powercinema\PCMService.exe
C:\apps\ABoard\ABoard.exe
C:\Programme\Winamp\winampa.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\ICQLite\ICQLite.exe
C:\Programme\ipwins\ipwins.exe
C:\apps\ABoard\AOSD.exe
C:\Programme\Gemeinsame Dateien\{785A7665-0AE9-1031-0324-060105060031}\Update.exe
C:\APPS\SMP\SmpSys.exe
C:\programme\steam\steam.exe
C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe
C:\Programme\DT\T-Sinus 130data 11Mbps WLAN USB Adapter\monitordt.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\QIP\qip.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Dokumente und Einstellungen\Felix\Desktop\Internetsachen\hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://format.packardbell.com/cgi-bin/redirect/?country=GE&range=AD&phase=6&key=SEARCH
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://google.bearshare.com/de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = file://C:\APPS\IE\offline\ger.htm
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Packard Bell
O3 - Toolbar: ToolBar888 - {CBCC61FA-0221-4ccc-B409-CEE865CACA3A} - C:\Programme\ToolBar888\MyToolBar.dll
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [High Definition Audio Property Page Shortcut] HDAShCut.exe
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_04\bin\jusched.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [Vade Retro Outlook Express] "C:\PROGRA~1\GOTOSO~1\VADERE~1\Vaderetro_oe.exe"
O4 - HKLM\..\Run: [OmniPass] C:\Apps\Softex\OmniPass\scureapp.exe
O4 - HKLM\..\Run: [Ulead AutoDetector v2] C:\Programme\Gemeinsame Dateien\Ulead Systems\AutoDetector\monitor.exe
O4 - HKLM\..\Run: [PCMService] "c:\APPS\Powercinema\PCMService.exe"
O4 - HKLM\..\Run: [ACTIVBOARD] c:\apps\ABoard\ABoard.exe
O4 - HKLM\..\Run: [EmailChecker] C:\APPS\EmailChecker\ech.exe
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [ICQ Lite] "C:\Programme\ICQLite\ICQLite.exe" -minimize
O4 - HKLM\..\Run: [IpWins] C:\Programme\ipwins\ipwins.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [SmpcSys] C:\APPS\SMP\SmpSys.exe
O4 - HKCU\..\Run: [Steam] "c:\programme\steam\steam.exe" -silent
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe"
O4 - Global Startup: T-Sinus 130data WLAN USB Monitor.lnk = ?
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\system32\Shdocvw.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=file://C:\APPS\IE\offline\ger.htm
O21 - SSODL: cinnamomum - {93ac7c30-3878-4eaa-9420-7977285df5b1} - C:\Dokumente und Einstellungen\Muttern\Anwendungsdaten\Microsoft\Vorlagen.dll
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: AOL Connectivity Service (AOL ACS) - America Online, Inc. - C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe
O23 - Service: CyberLink Background Capture Service (CBCS) (CLCapSvc) - Unknown owner - c:\APPS\Powercinema\Kernel\TV\CLCapSvc.exe
O23 - Service: CyberLink Task Scheduler (CTS) (CLSched) - Unknown owner - c:\APPS\Powercinema\Kernel\TV\CLSched.exe
O23 - Service: CyberLink Media Library Service - Cyberlink - c:\APPS\Powercinema\Kernel\CLML_NTService\CLMLServer.exe
O23 - Service: Generic Service for HID Keyboard Input Collections (GenericHidService) - Unknown owner - c:\APPS\HIDSERVICE\HIDSERVICE.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Softex OmniPass Service (omniserv) - Softex Inc. - C:\Apps\Softex\OmniPass\Omniserv.exe
O23 - Service: Ulead Burning Helper (UleadBurningHelper) - Ulead Systems, Inc. - C:\Programme\Gemeinsame Dateien\Ulead Systems\DVD\ULCDRSvr.exe

oh sry... da poste ich das erste ma hier direkt n problem und beachte nicht mal die anweisungen für neue threads. *schäm*
naja, ich habe also cleanup ausgeführt, wie angegeben und auch dieses dat-dingens, hier das ergebnis davon:

Datentr„ger in Laufwerk C: ist HDD
Volumeseriennummer: 785A-7665

Verzeichnis von C:\WINDOWS\system32

09.07.2006 12:45 1.655 tttss.ini
09.07.2006 12:37 61.465 nvapps.xml
09.07.2006 12:37 24.064 ixt0.dll
09.07.2006 12:37 5.120 ismon.exe
09.07.2006 10:48 4.286 ot.ico
09.07.2006 10:48 4.286 ts.ico
09.07.2006 00:32 573.492 ssttt.dll
09.07.2006 00:27 8.424 isnotify.exe
09.07.2006 00:27 35.328 issearch.exe
09.07.2006 00:25 34.832 ishost.exe
09.07.2006 00:23 38.925 ddccayx.dll
09.07.2006 00:23 18.432 winpsa32.dll
06.07.2006 21:17 1.158 wpa.dbl
22.06.2006 12:47 181.248 rasmans.dll
02.06.2006 11:04 57.384 avsda.dll
01.06.2006 20:47 163.840 jgdw400.dll
01.06.2006 20:47 27.648 jgpl400.dll
29.05.2006 17:30 1.494.016 shdocvw.dll
28.05.2006 17:54 403.968 perfh009.dat
28.05.2006 17:54 63.188 perfc009.dat
28.05.2006 17:54 76.014 perfc007.dat
28.05.2006 17:54 418.970 perfh007.dat
28.05.2006 17:53 967.172 PerfStringBackup.INI
28.05.2006 12:20 100 LuResult.txt
27.05.2006 13:29 34.064 lhacm.acm
25.05.2006 16:27 305.216 FNTCACHE.DAT
23.05.2006 19:47 1.014 $winnt$.inf
19.05.2006 17:09 3.073.536 mshtml.dll
18.05.2006 07:36 450.560 jscript.dll


Datentr„ger in Laufwerk C: ist HDD
Volumeseriennummer: 785A-7665

Verzeichnis von C:\WINDOWS

13.07.2006 18:52 192.377 setupact.log
11.07.2006 15:44 47.139 wmsetup.log
09.07.2006 12:44 2.026.120 WindowsUpdate.log
09.07.2006 12:37 0 0.log
09.07.2006 12:37 159 wiadebug.log
09.07.2006 12:37 50 wiaservc.log
09.07.2006 12:37 2.048 bootstat.dat
09.07.2006 12:36 32.630 SchedLgU.Txt
09.07.2006 12:18 116 NeroDigital.ini
08.07.2006 14:56 29.521 DirectX.log
08.07.2006 01:30 377 nsw.log
08.07.2006 01:30 357.280 setupapi.log
05.07.2006 18:12 663.040 is-5EHVI.exe
05.07.2006 18:12 258 is-5EHVI.lst
05.07.2006 18:12 10.454 is-5EHVI.msg
01.07.2006 19:01 2.737 spupdsvc.log
01.07.2006 17:30 130.193 comsetup.log
01.07.2006 17:30 143.602 tsoc.log
01.07.2006 17:30 77.239 ntdtcsetup.log
01.07.2006 17:30 1.355 imsins.log
01.07.2006 17:30 57.473 iis6.log
01.07.2006 17:30 20.037 ocmsn.log
01.07.2006 17:30 8.889 KB917734.log
01.07.2006 17:30 177.981 ocgen.log
01.07.2006 17:30 18.175 msgsocm.log
01.07.2006 17:30 357.824 FaxSetup.log
01.07.2006 17:30 1.355 imsins.BAK
01.07.2006 17:30 14.928 KB911280.log
01.07.2006 17:30 18.359 updspapi.log

Datentr„ger in Laufwerk C: ist HDD
Volumeseriennummer: 785A-7665

Verzeichnis von C:\DOKUME~1\Felix\LOKALE~1\Temp

09.07.2006 12:38 16.384 ~DF7A28.tmp
09.07.2006 12:38 512 ~DF671D.tmp
09.07.2006 12:38 16.384 ~DF670A.tmp
09.07.2006 12:37 206 jusched.log
4 Datei(en) 33.486 Bytes
0 Verzeichnis(se), 213.015.150.592 Bytes frei

Datentr„ger in Laufwerk C: ist HDD
Volumeseriennummer: 785A-7665

Verzeichnis von C:\

09.07.2006 12:47 0 sys.txt
09.07.2006 12:46 9.123 system.txt
09.07.2006 12:46 430 systemtemp.txt
09.07.2006 12:45 102.920 system32.txt
09.07.2006 12:42 430 temp.txt
09.07.2006 12:37 1.072.222.208 hiberfil.sys
09.07.2006 12:37 1.608.224.768 pagefile.sys
11.06.2006 00:28 80 FilterLog.log
23.05.2006 19:48 293 BOOT.INI
12.05.2006 17:43 166 WINBOM.000
12.05.2006 17:23 821 IPH.PH
12.05.2006 17:21 0 IO.SYS
12.05.2006 17:21 0 MSDOS.SYS
12.05.2006 17:19 210 BOOT.BAK
12.05.2006 14:49 1.157 SAUDIT.TXT
04.08.2004 14:00 262.448 cmldr
04.08.2004 14:00 4.952 bootfont.bin
04.08.2004 14:00 47.564 NTDETECT.COM
04.08.2004 14:00 251.184 NTLDR
19 Datei(en) 2.681.128.754 Bytes
0 Verzeichnis(se), 213.015.072.768 Bytes frei


ich bitte um entschuldigung das erst nich beachtet zu haben. bitte sag mir einer was ich jetzt tun soll, ich will dieses scheiss dingen weg haben

#2 Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als listen.bat mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden. --> die listen.bat doppelt klicken--> kopiere den Text, der erscheint

Zitat

cd\
dir "C:\Dokumente und Einstellungen\Muttern\Anwendungsdaten\Microsoft" >>files.txt
dir "C:\Programme\ToolBar888" >>files.txt
dir "C:\Programme\ipwins" >>files.txt
dir "C:\Programme\Gemeinsame Dateien\{900E6FC0-0960-1031-0407-050312050031}" >>files.txt
dir "C:\WINDOWS\system32\components" >>files.txt
dir "C:\WINDOWS\Downloaded Program Files" >>files.txt
dir "C:\Programme\Common Files" >>files.txt
dir "C:\Dokumente und Einstellungen\%UserName%\Lokale Einstellungen\Temp" >>files.txt
dir "C:\WINDOWS\Temp" >>files.txt
dir "C:\Temp" >>files.txt
dir "C:\Programme" >>files.txt
dir "C:\Dokumente und Einstellungen\%UserName%\Anwendungsdaten" >>files.txt
dir "C:\Dokumente und Einstellungen\%UserName%\Lokale Einstellungen\Anwendungsdaten" >>files.txt
dir "C:\Programme\Gemeinsame Dateien" >>files.txt
notepad files.txt

__________
MfG Sabina

rund um die PC-Sicherheit

#3 Datentr„ger in Laufwerk C: ist HDD
Volumeseriennummer: 785A-7665

Verzeichnis von C:\Dokumente und Einstellungen\Muttern\Anwendungsdaten\Microsoft

27.05.2006 19:33 <DIR> AddIns
26.05.2006 22:21 <DIR> Address Book
12.05.2006 17:12 <DIR> CLR Security Config
19.06.2006 07:04 <DIR> Excel
11.08.2004 19:12 <DIR> IMJP8_1
11.08.2004 19:05 <DIR> Internet Explorer
11.08.2004 19:06 <DIR> Media Player
15.06.2006 17:28 <DIR> Office
15.06.2006 17:28 <DIR> Outlook
29.06.2006 21:30 <DIR> Proof
02.07.2006 22:00 <DIR> Vorlagen
25.04.2005 17:03 59.124 Vorlagen.dll
11.08.2004 19:14 <DIR> Windows
18.06.2006 15:49 <DIR> Word
1 Datei(en) 59.124 Bytes
13 Verzeichnis(se), 212.173.623.296 Bytes frei
Datentr„ger in Laufwerk C: ist HDD
Volumeseriennummer: 785A-7665

Verzeichnis von C:\Programme\ToolBar888

09.07.2006 00:25 <DIR> .
09.07.2006 00:25 <DIR> ..
08.06.2006 17:00 45.056 Activate.exe
13.06.2006 17:00 114.688 MyToolBar.dll
09.07.2006 00:25 34.950 Uninst.exe
3 Datei(en) 194.694 Bytes
2 Verzeichnis(se), 212.173.623.296 Bytes frei
Datentr„ger in Laufwerk C: ist HDD

oke, noch isses einfach

#4 und der Rest ??? wo ist er ?????????

ich stelle dir eine Reinigung zusammen, aber ich brauche ALLE Daten
__________
MfG Sabina

rund um die PC-Sicherheit

#5 , oke.... man sollte doch ma runter scrollen wenn da ne leiste is -.- sry, hier is noch mal alles

Datentr„ger in Laufwerk C: ist HDD
Volumeseriennummer: 785A-7665

Verzeichnis von C:\Dokumente und Einstellungen\Muttern\Anwendungsdaten\Microsoft

27.05.2006 19:33 <DIR> AddIns
26.05.2006 22:21 <DIR> Address Book
12.05.2006 17:12 <DIR> CLR Security Config
19.06.2006 07:04 <DIR> Excel
11.08.2004 19:12 <DIR> IMJP8_1
11.08.2004 19:05 <DIR> Internet Explorer
11.08.2004 19:06 <DIR> Media Player
15.06.2006 17:28 <DIR> Office
15.06.2006 17:28 <DIR> Outlook
29.06.2006 21:30 <DIR> Proof
02.07.2006 22:00 <DIR> Vorlagen
25.04.2005 17:03 59.124 Vorlagen.dll
11.08.2004 19:14 <DIR> Windows
18.06.2006 15:49 <DIR> Word
1 Datei(en) 59.124 Bytes
13 Verzeichnis(se), 212.173.623.296 Bytes frei
Datentr„ger in Laufwerk C: ist HDD
Volumeseriennummer: 785A-7665

Verzeichnis von C:\Programme\ToolBar888

09.07.2006 00:25 <DIR> .
09.07.2006 00:25 <DIR> ..
08.06.2006 17:00 45.056 Activate.exe
13.06.2006 17:00 114.688 MyToolBar.dll
09.07.2006 00:25 34.950 Uninst.exe
3 Datei(en) 194.694 Bytes
2 Verzeichnis(se), 212.173.623.296 Bytes frei
Datentr„ger in Laufwerk C: ist HDD
Volumeseriennummer: 785A-7665

Verzeichnis von C:\Programme\ipwins

10.07.2006 18:06 <DIR> .
10.07.2006 18:06 <DIR> ..
10.07.2006 18:06 3 count.dat
09.07.2006 00:34 48 data.dat
10.07.2006 09:27 12 date.dat
06.06.2006 16:22 159.744 ipwins.exe
09.07.2006 15:04 20.886 s3pg.dat
09.07.2006 00:34 102 settings.dat
09.07.2006 00:34 12 settingsDate.dat
09.07.2006 01:02 21.043 sk0.dat
09.07.2006 00:34 34.717 Uninst.exe
9 Datei(en) 236.567 Bytes
2 Verzeichnis(se), 212.173.623.296 Bytes frei
Datentr„ger in Laufwerk C: ist HDD
Volumeseriennummer: 785A-7665

Verzeichnis von C:\Programme\Gemeinsame Dateien

Datentr„ger in Laufwerk C: ist HDD
Volumeseriennummer: 785A-7665

Verzeichnis von C:\WINDOWS\system32\components

10.07.2006 18:07 <DIR> .
10.07.2006 18:07 <DIR> ..
09.07.2006 10:48 65.179 flx4.dll
09.07.2006 00:27 65.179 flx5.dll
2 Datei(en) 130.358 Bytes
2 Verzeichnis(se), 212.173.623.296 Bytes frei
Datentr„ger in Laufwerk C: ist HDD
Volumeseriennummer: 785A-7665

Verzeichnis von C:\WINDOWS\Downloaded Program Files

25.07.2002 17:13 24.576 dwusplay.dll
25.07.2002 17:13 196.608 dwusplay.exe
25.07.2002 17:05 172.032 isusweb.dll
3 Datei(en) 393.216 Bytes
0 Verzeichnis(se), 212.173.623.296 Bytes frei
Datentr„ger in Laufwerk C: ist HDD
Volumeseriennummer: 785A-7665

Verzeichnis von C:\Programme

Datentr„ger in Laufwerk C: ist HDD
Volumeseriennummer: 785A-7665

Verzeichnis von C:\Dokumente und Einstellungen\Felix\Lokale Einstellungen\Temp

10.07.2006 18:07 <DIR> .
10.07.2006 18:07 <DIR> ..
10.07.2006 16:58 2.244 browserview-101843c.htm
10.07.2006 13:14 31.976 browserview-101b77c.htm
09.07.2006 15:13 12.478 browserview-fd9a6c.htm
10.07.2006 17:03 4.206 f507_appcompat.txt
10.07.2006 18:06 1.442 jusched.log
09.07.2006 16:59 426.460.972 NVE1F.tmp
09.07.2006 17:08 387.303.896 NVE21.tmp
10.07.2006 12:33 16.384 ~DF23D3.tmp
09.07.2006 15:06 16.384 ~DF37E3.tmp
09.07.2006 15:06 16.384 ~DF562B.tmp
09.07.2006 12:38 16.384 ~DF670A.tmp
09.07.2006 12:38 16.384 ~DF7A28.tmp
12 Datei(en) 813.899.134 Bytes
2 Verzeichnis(se), 212.173.623.296 Bytes frei
Datentr„ger in Laufwerk C: ist HDD
Volumeseriennummer: 785A-7665

Verzeichnis von C:\WINDOWS\Temp

10.07.2006 18:07 <DIR> .
10.07.2006 18:07 <DIR> ..
10.07.2006 18:05 0 CLML_AGENT_LOG1.txt
10.07.2006 18:05 0 sqlite_QEwvhFazixjbx05
09.07.2006 14:42 0 win1.tmp
09.07.2006 14:54 0 win10.tmp
09.07.2006 14:56 0 win11.tmp
09.07.2006 14:56 0 win12.tmp
09.07.2006 14:58 0 win13.tmp
09.07.2006 14:58 0 win14.tmp
09.07.2006 15:33 0 win15.tmp
09.07.2006 15:00 903 win16.tmp
09.07.2006 15:35 0 win17.tmp
09.07.2006 16:25 0 win18.tmp
09.07.2006 16:27 0 win19.tmp
09.07.2006 16:29 0 win1A.tmp
09.07.2006 15:10 0 win1B.tmp
09.07.2006 16:31 0 win1C.tmp
09.07.2006 16:33 0 win1D.tmp
09.07.2006 18:18 0 win1E.tmp
09.07.2006 18:18 0 win1F.tmp
09.07.2006 14:44 0 win2.tmp
09.07.2006 16:55 0 win20.tmp
09.07.2006 18:18 0 win21.tmp
09.07.2006 17:01 0 win22.tmp
09.07.2006 17:01 0 win23.tmp
09.07.2006 15:37 0 win24.tmp
09.07.2006 17:03 0 win25.tmp
09.07.2006 17:03 0 win26.tmp
09.07.2006 17:05 0 win27.tmp
09.07.2006 17:05 0 win28.tmp
09.07.2006 15:39 0 win29.tmp
09.07.2006 15:41 0 win2A.tmp
09.07.2006 17:07 0 win2B.tmp
09.07.2006 16:03 0 win2C.tmp
09.07.2006 17:07 0 win2D.tmp
09.07.2006 17:09 0 win2E.tmp
09.07.2006 17:09 0 win2F.tmp
09.07.2006 12:39 0 win3.tmp
09.07.2006 17:11 0 win30.tmp
09.07.2006 17:11 0 win31.tmp
09.07.2006 17:13 0 win32.tmp
09.07.2006 17:13 0 win33.tmp
09.07.2006 18:21 903 win34.tmp
09.07.2006 18:21 0 win35.tmp
09.07.2006 21:47 0 win36.tmp
09.07.2006 18:23 0 win37.tmp
09.07.2006 18:25 0 win38.tmp
09.07.2006 18:27 0 win39.tmp
09.07.2006 18:49 0 win3A.tmp
09.07.2006 21:47 0 win3B.tmp
09.07.2006 21:47 0 win3C.tmp
10.07.2006 09:25 0 win3D.tmp
10.07.2006 09:25 0 win3E.tmp
10.07.2006 09:25 0 win3F.tmp
09.07.2006 14:46 0 win4.tmp
09.07.2006 21:49 0 win40.tmp
09.07.2006 21:49 0 win41.tmp
09.07.2006 21:49 0 win42.tmp
09.07.2006 21:51 0 win43.tmp
09.07.2006 21:51 0 win44.tmp
09.07.2006 21:51 0 win45.tmp
09.07.2006 21:53 903 win46.tmp
09.07.2006 21:53 0 win47.tmp
09.07.2006 21:55 0 win48.tmp
09.07.2006 22:17 0 win49.tmp
10.07.2006 09:28 0 win4A.tmp
10.07.2006 09:28 0 win4B.tmp
10.07.2006 09:28 0 win4C.tmp
10.07.2006 12:32 0 win4D.tmp
10.07.2006 12:32 0 win4E.tmp
10.07.2006 09:30 903 win4F.tmp
09.07.2006 14:48 0 win5.tmp
10.07.2006 09:30 0 win50.tmp
10.07.2006 09:32 0 win51.tmp
10.07.2006 09:34 0 win52.tmp
10.07.2006 09:56 0 win53.tmp
10.07.2006 12:32 0 win54.tmp
10.07.2006 15:11 0 win55.tmp
10.07.2006 15:11 0 win56.tmp
10.07.2006 12:34 0 win57.tmp
10.07.2006 12:34 0 win58.tmp
10.07.2006 12:34 0 win59.tmp
10.07.2006 12:36 903 win5A.tmp
10.07.2006 12:36 0 win5B.tmp
10.07.2006 12:38 0 win5C.tmp
10.07.2006 12:40 0 win5D.tmp
10.07.2006 13:00 0 win5E.tmp
10.07.2006 13:20 0 win5F.tmp
09.07.2006 12:41 0 win6.tmp
10.07.2006 15:11 0 win60.tmp
10.07.2006 16:25 0 win61.tmp
10.07.2006 16:57 0 win62.tmp
10.07.2006 15:13 903 win63.tmp
10.07.2006 15:13 0 win64.tmp
10.07.2006 16:59 0 win65.tmp
10.07.2006 16:27 0 win66.tmp
10.07.2006 17:01 0 win67.tmp
10.07.2006 17:03 0 win68.tmp
10.07.2006 18:05 0 win69.tmp
10.07.2006 15:15 0 win6A.tmp
10.07.2006 15:17 0 win6B.tmp
10.07.2006 15:19 0 win6C.tmp
10.07.2006 16:29 0 win6D.tmp
10.07.2006 16:31 0 win6E.tmp
10.07.2006 16:33 0 win6F.tmp
09.07.2006 14:50 0 win7.tmp
10.07.2006 18:05 0 win70.tmp
10.07.2006 18:05 0 win71.tmp
10.07.2006 18:07 903 win77.tmp
10.07.2006 18:07 0 win78.tmp
09.07.2006 14:52 0 win8.tmp
09.07.2006 12:43 0 win9.tmp
09.07.2006 12:45 0 winA.tmp
09.07.2006 12:47 0 winB.tmp
09.07.2006 12:51 903 winC.tmp
09.07.2006 14:52 0 winD.tmp
09.07.2006 14:54 0 winE.tmp
09.07.2006 13:07 0 winF.tmp
117 Datei(en) 7.224 Bytes
2 Verzeichnis(se), 212.173.615.104 Bytes frei
Datentr„ger in Laufwerk C: ist HDD
Volumeseriennummer: 785A-7665

Verzeichnis von C:\

Datentr„ger in Laufwerk C: ist HDD
Volumeseriennummer: 785A-7665

Verzeichnis von C:\Programme

09.07.2006 01:07 <DIR> .
09.07.2006 01:07 <DIR> ..
12.05.2006 17:22 <DIR> Adobe
06.07.2006 16:35 <DIR> AntiVir PersonalEdition Classic
23.05.2006 20:53 <DIR> AOL 9.0
07.07.2006 14:05 <DIR> BearShare
09.07.2006 01:00 <DIR> CleanUp!
11.08.2004 19:03 <DIR> ComPlus Applications
12.05.2006 17:34 <DIR> CyberLink
23.05.2006 21:00 <DIR> DT
08.07.2006 14:20 <DIR> EA GAMES
25.05.2006 13:39 <DIR> EA SPORTS
09.07.2006 00:25 <DIR> Gemeinsame Dateien
12.05.2006 17:24 <DIR> GMixon
12.05.2006 17:24 <DIR> Goto Software
08.07.2006 00:56 <DIR> Hamachi
09.07.2006 00:18 <DIR> HLSW
09.07.2006 00:01 <DIR> ICQLite
09.07.2006 00:38 <DIR> InetGet2
01.07.2006 17:30 <DIR> Internet Explorer
10.07.2006 18:06 <DIR> ipwins
12.05.2006 17:18 <DIR> Java
06.07.2006 16:37 <DIR> Lavasoft
12.05.2006 17:23 <DIR> Learn2.com
12.05.2006 17:14 <DIR> Messenger
11.08.2004 19:06 <DIR> microsoft frontpage
12.05.2006 17:33 <DIR> Microsoft Office
12.05.2006 17:33 <DIR> Microsoft Works
12.05.2006 17:33 <DIR> Microsoft.NET
25.05.2006 16:20 <DIR> Monte Cristo
11.08.2004 19:04 <DIR> Movie Maker
10.07.2006 18:07 <DIR> Mozilla Firefox
11.08.2004 19:02 <DIR> MSN
11.08.2004 19:02 <DIR> MSN Gaming Zone
11.06.2006 00:26 <DIR> Nero
11.08.2004 19:03 <DIR> NetMeeting
12.05.2006 17:24 <DIR> Norman
11.08.2004 19:02 <DIR> Online Services
11.08.2004 19:04 <DIR> Online-Dienste
26.05.2006 21:07 <DIR> Outlook Express
13.06.2006 09:30 <DIR> QIP
12.05.2006 17:23 <DIR> QuickTime
05.07.2006 18:12 <DIR> RapidCheck
12.05.2006 17:23 <DIR> Real
12.05.2006 17:13 <DIR> Realtek
12.05.2006 17:28 <DIR> ShowTime
12.05.2006 17:36 <DIR> Sonic
09.07.2006 01:05 <DIR> SpyQuake2.com
10.07.2006 18:06 <DIR> Steam
23.05.2006 21:02 <DIR> T-Sinus 130 DSL
27.05.2006 13:29 <DIR> Teamspeak2_RC2
02.07.2006 15:47 <DIR> thriXXX
09.07.2006 00:25 <DIR> ToolBar888
12.05.2006 17:31 <DIR> Ulead Systems
09.06.2006 17:35 <DIR> VideoLAN
12.05.2006 17:23 <DIR> Viewpoint
07.07.2006 04:05 <DIR> Winamp
12.05.2006 17:19 <DIR> Windows Media Player
12.05.2006 17:30 <DIR> Windows Media-Komponenten
11.08.2004 19:02 <DIR> Windows NT
02.06.2006 14:01 <DIR> WinRAR
11.08.2004 19:06 <DIR> xerox
26.05.2006 12:00 <DIR> YOU DON'T KNOW JACK 2
0 Datei(en) 0 Bytes
63 Verzeichnis(se), 212.173.611.008 Bytes frei
Datentr„ger in Laufwerk C: ist HDD
Volumeseriennummer: 785A-7665

Verzeichnis von C:\Dokumente und Einstellungen\Felix\Anwendungsdaten

15.06.2006 19:11 <DIR> Adobe
02.07.2006 15:04 <DIR> AdobeUM
04.07.2006 12:06 <DIR> Ahead
10.06.2006 23:10 <DIR> CyberLink
08.07.2006 01:31 <DIR> Hamachi
08.07.2006 23:56 <DIR> ICQLite
11.08.2004 19:11 <DIR> Identities
06.07.2006 16:37 <DIR> Lavasoft
12.05.2006 17:28 <DIR> Macromedia
26.05.2006 16:13 <DIR> Mozilla
03.07.2006 19:06 <DIR> RapidGet
26.05.2006 11:57 <DIR> Skype
26.05.2006 22:07 <DIR> Sun
02.07.2006 17:44 <DIR> teamspeak2
17.06.2006 19:34 <DIR> Ulead Systems
09.06.2006 17:43 <DIR> vlc
23.05.2006 22:13 0 wklnhst.dat
27.05.2006 19:56 <DIR> Xfire
12.05.2006 17:23 <DIR> You've Got Pictures Screensaver
1 Datei(en) 0 Bytes
18 Verzeichnis(se), 212.173.611.008 Bytes frei
Datentr„ger in Laufwerk C: ist HDD
Volumeseriennummer: 785A-7665

Verzeichnis von C:\Dokumente und Einstellungen\Felix\Lokale Einstellungen\Anwendungsdaten

23.05.2006 21:46 <DIR> Adobe
11.06.2006 00:31 <DIR> Ahead
12.05.2006 17:39 <DIR> ApplicationHistory
09.07.2006 16:37 56.832 DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
12.05.2006 17:12 141 fusioncache.dat
28.05.2006 13:20 73.336 GDIPFONTCACHEV1.DAT
07.07.2006 04:01 <DIR> Microsoft
26.05.2006 16:13 <DIR> Mozilla
06.07.2006 20:45 <DIR> PowerCinema
12.05.2006 17:18 <DIR> {3248F0A6-6813-11D6-A77B-00B0D0150040}
3 Datei(en) 130.309 Bytes
7 Verzeichnis(se), 212.173.611.008 Bytes frei
Datentr„ger in Laufwerk C: ist HDD
Volumeseriennummer: 785A-7665

Verzeichnis von C:\Programme\Gemeinsame Dateien

09.07.2006 00:25 <DIR> .
09.07.2006 00:25 <DIR> ..
12.05.2006 17:22 <DIR> Adobe
11.06.2006 00:26 <DIR> Ahead
12.05.2006 17:23 <DIR> aol
12.05.2006 17:23 <DIR> aolshare
12.05.2006 17:34 <DIR> DESIGNER
11.08.2004 19:04 <DIR> Dienste
12.05.2006 17:34 <DIR> InstallShield
12.05.2006 17:18 <DIR> Java
12.05.2006 17:34 <DIR> Microsoft Shared
11.08.2004 19:04 <DIR> MSSoap
12.05.2006 17:23 <DIR> Nullsoft
11.08.2004 18:57 <DIR> ODBC
12.05.2006 17:23 <DIR> Real
12.05.2006 17:36 <DIR> Sonic Shared
11.08.2004 18:57 <DIR> SpeechEngines
12.05.2006 17:28 <DIR> SureThing Shared
28.05.2006 12:24 <DIR> Symantec Shared
26.05.2006 21:07 <DIR> System
12.05.2006 17:30 <DIR> Ulead Systems
09.07.2006 00:25 <DIR> {785A7665-0AE9-1031-0324-060105060031}
0 Datei(en) 0 Bytes
22 Verzeichnis(se), 212.173.606.912 Bytes frei
Datentr„ger in Laufwerk C: ist HDD
Volumeseriennummer: 785A-7665

#6 1.
wende vundofix an
http://virus-protect.org/artikel/tools/vundofixx.html

2.
spyfalcon.zip -> http://virus-protect.org/zip/spyfalcon.zip -> entpacken auf dem Desktop -> spyfalcon.reg ->doppeltklicken und der Registry mit "ja/yes" beifügen

3.
Avenger
http://virus-protect.org/artikel/tools/avenger.html
kopiere rein:

Zitat

Files to delete:

C:\WINDOWS\system32\tttss.ini
C:\WINDOWS\system32\nvapps.xml
C:\WINDOWS\system32\ixt0.dll
C:\WINDOWS\system32\ismon.exe
C:\WINDOWS\system32\ot.ico
C:\WINDOWS\system32\ts.ico
C:\WINDOWS\system32\ssttt.dll
C:\WINDOWS\system32\isnotify.exe
C:\WINDOWS\system32\issearch.exe
C:\WINDOWS\system32\ishost.exe
C:\WINDOWS\system32\ddccayx.dll
C:\WINDOWS\system32\winpsa32.dll
C:\Programme\InetGet2\stub_109_4_0_4_0.exe
C:\Programme\ToolBar888\Activate.exe
C:\Programme\ToolBar888\MyToolBar.dll
C:\Programme\ToolBar888\Uninst.exe
C:\WINDOWS\system32\components\flx4.dll
C:\WINDOWS\system32\components\flx5.dll
C:\WINDOWS\Temp\win1.tmp
C:\WINDOWS\Temp\win10.tmp
C:\WINDOWS\Temp\win11.tmp
C:\WINDOWS\Temp\win12.tmp
C:\WINDOWS\Temp\win13.tmp
C:\WINDOWS\Temp\win14.tmp
C:\WINDOWS\Temp\win15.tmp
C:\WINDOWS\Temp\win16.tmp
C:\WINDOWS\Temp\win34.tmp
C:\WINDOWS\Temp\win46.tmp
C:\WINDOWS\Temp\win47.tmp
C:\WINDOWS\Temp\win48.tmp
C:\WINDOWS\Temp\win49.tmp
C:\WINDOWS\Temp\win4A.tmp
C:\WINDOWS\Temp\win4B.tmp
C:\WINDOWS\Temp\win4C.tmp
C:\WINDOWS\Temp\win4D.tmp
C:\WINDOWS\Temp\win4E.tmp
C:\WINDOWS\Temp\win4F.tmp
C:\Programme\ipwins\count.dat
C:\Programme\ipwins\data.dat
C:\Programme\ipwins\date.dat
C:\Programme\ipwins\ipwins.exe
C:\Programme\ipwins\s3pg.dat
C:\Programme\ipwins\settings.dat
C:\Programme\ipwins\settingsDate.dat
C:\Programme\ipwins\sk0.dat
C:\Programme\ipwins\Uninst.exe
C:\Dokumente und Einstellungen\User\Anwendungsdaten\Microsoft\Vorlagen.dll
C:\Programme\Gemeinsame Dateien\{785A7665-0AE9-1031-0324-060105060031}\services.dll
C:\Programme\Gemeinsame Dateien\{785A7665-0AE9-1031-0324-060105060031}\Update.exe

Klicke die gruene Ampel
das Script wird nun ausgeführt, dann wird der PC automatisch neustarten
**

poste das log vom avenger, was erscheint

**
wende smitfraudfix an (option 1 und 2 und poste beide scanreporte) ...lasse auch die registry mitreinigen
http://virus-protect.org/artikel/tools/smitfrautfix.html

**
desinstalliere:bearshare

C:\Programme\
07.07.2006 14:05 <DIR> BearShare

**
C:\WINDOWS\Temp

alles loeschen !

09.07.2006 14:42 0 win1.tmp
09.07.2006 14:54 0 win10.tmp
09.07.2006 14:56 0 win11.tmp
09.07.2006 14:56 0 win12.tmp
09.07.2006 14:58 0 win13.tmp
09.07.2006 14:58 0 win14.tmp
09.07.2006 15:33 0 win15.tmp
09.07.2006 15:00 903 win16.tmp
09.07.2006 15:35 0 win17.tmp
09.07.2006 16:25 0 win18.tmp

usw. usw...

**
loeschen:

C:\Programme\InetGet2
C:\Programme\ToolBar888
C:\Programme\ipwins
C:\WINDOWS\system32\components
C:\Programme\Gemeinsame Dateien\{785A7665-0AE9-1031-0324-060105060031}

**
öffne das HijackThis -- Button "scan" -- vor die Malware-Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten

Zitat

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://google.bearshare.com/de/
O3 - Toolbar: ToolBar888 - {CBCC61FA-0221-4ccc-B409-CEE865CACA3A} - C:\Programme\ToolBar888\MyToolBar.dll
O4 - HKLM\..\Run: [IpWins] C:\Programme\ipwins\ipwins.exe
O21 - SSODL: cinnamomum - {93ac7c30-3878-4eaa-9420-7977285df5b1} - C:\Dokumente und Einstellungen\Muttern\Anwendungsdaten\Microsoft\Vorlagen.dll

PC neustarten
__________
MfG Sabina

rund um die PC-Sicherheit

#7 vundofix hatte nichts gefunden, hier das logfile vom avenger:

Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\yoxqfouo

*******************

Script file located at: \??\C:\WINDOWS\stfandtw.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

File C:\WINDOWS\system32\tttss.ini deleted successfully.
File C:\WINDOWS\system32\nvapps.xml deleted successfully.
File C:\WINDOWS\system32\ixt0.dll deleted successfully.
File C:\WINDOWS\system32\ismon.exe deleted successfully.
File C:\WINDOWS\system32\ot.ico deleted successfully.
File C:\WINDOWS\system32\ts.ico deleted successfully.
File C:\WINDOWS\system32\ssttt.dll deleted successfully.
File C:\WINDOWS\system32\isnotify.exe deleted successfully.
File C:\WINDOWS\system32\issearch.exe deleted successfully.
File C:\WINDOWS\system32\ishost.exe deleted successfully.
File C:\WINDOWS\system32\ddccayx.dll deleted successfully.
File C:\WINDOWS\system32\winpsa32.dll deleted successfully.
File C:\Programme\ToolBar888\Activate.exe deleted successfully.
File C:\Programme\ToolBar888\MyToolBar.dll deleted successfully.
File C:\Programme\ToolBar888\Uninst.exe deleted successfully.
File C:\WINDOWS\system32\components\flx4.dll deleted successfully.
File C:\WINDOWS\system32\components\flx5.dll deleted successfully.
File C:\WINDOWS\Temp\win1.tmp deleted successfully.
File C:\WINDOWS\Temp\win10.tmp deleted successfully.
File C:\WINDOWS\Temp\win11.tmp deleted successfully.
File C:\WINDOWS\Temp\win12.tmp deleted successfully.
File C:\WINDOWS\Temp\win13.tmp deleted successfully.
File C:\WINDOWS\Temp\win14.tmp deleted successfully.
File C:\WINDOWS\Temp\win15.tmp deleted successfully.
File C:\WINDOWS\Temp\win16.tmp deleted successfully.
File C:\WINDOWS\Temp\win34.tmp deleted successfully.
File C:\WINDOWS\Temp\win46.tmp deleted successfully.
File C:\WINDOWS\Temp\win47.tmp deleted successfully.
File C:\WINDOWS\Temp\win48.tmp deleted successfully.
File C:\WINDOWS\Temp\win49.tmp deleted successfully.
File C:\WINDOWS\Temp\win4A.tmp deleted successfully.
File C:\WINDOWS\Temp\win4B.tmp deleted successfully.
File C:\WINDOWS\Temp\win4C.tmp deleted successfully.
File C:\WINDOWS\Temp\win4D.tmp deleted successfully.
File C:\WINDOWS\Temp\win4E.tmp deleted successfully.
File C:\WINDOWS\Temp\win4F.tmp deleted successfully.
File C:\Programme\ipwins\count.dat deleted successfully.
File C:\Programme\ipwins\data.dat deleted successfully.
File C:\Programme\ipwins\date.dat deleted successfully.
File C:\Programme\ipwins\ipwins.exe deleted successfully.
File C:\Programme\ipwins\s3pg.dat deleted successfully.
File C:\Programme\ipwins\settings.dat deleted successfully.
File C:\Programme\ipwins\settingsDate.dat deleted successfully.
File C:\Programme\ipwins\sk0.dat deleted successfully.
File C:\Programme\ipwins\Uninst.exe deleted successfully.


Could not open file C:\Dokumente und Einstellungen\User\Anwendungsdaten\Microsoft\Vorlagen.dll for deletion
Deletion of file C:\Dokumente und Einstellungen\User\Anwendungsdaten\Microsoft\Vorlagen.dll failed!

Could not process line:
C:\Dokumente und Einstellungen\User\Anwendungsdaten\Microsoft\Vorlagen.dll
Status: 0xc000003a

File C:\Programme\Gemeinsame Dateien\{785A7665-0AE9-1031-0324-060105060031}\services.dll deleted successfully.
File C:\Programme\Gemeinsame Dateien\{785A7665-0AE9-1031-0324-060105060031}\Update.exe deleted successfully.

Completed script processing.

*******************

Finished! Terminate.


der erste log von smitfraudfix:

SmitFraudFix v2.74

Scan done at 11:31:18,56, 11.07.2006
Run from C:\Dokumente und Einstellungen\Felix\Desktop\Internetsachen\SmitfraudFix\SmitfraudFix
OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT
Fix ran in normal mode

»»»»»»»»»»»»»»»»»»»»»»»» C:\


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32

C:\WINDOWS\system32\ixt?.dll FOUND !
C:\WINDOWS\system32\ixt??.dll FOUND !
C:\WINDOWS\system32\pmnqguh.dll FOUND !

»»»»»»»»»»»»»»»»»»»»»»»» C:\Dokumente und Einstellungen\Felix\Application Data


»»»»»»»»»»»»»»»»»»»»»»»» Start Menu


»»»»»»»»»»»»»»»»»»»»»»»» C:\DOKUME~1\Felix\FAVORI~1

C:\DOKUME~1\Felix\FAVORI~1\Antivirus Test Online.url FOUND !

»»»»»»»»»»»»»»»»»»»»»»»» Desktop


»»»»»»»»»»»»»»»»»»»»»»»» C:\Programme

C:\Programme\SpyQuake2.com\ FOUND !

»»»»»»»»»»»»»»»»»»»»»»»» Corrupted keys


»»»»»»»»»»»»»»»»»»»»»»»» Desktop Components

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Die derzeitige Homepage"


»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]
"cinnamomum"="{93ac7c30-3878-4eaa-9420-7977285df5b1}"


»»»»»»»»»»»»»»»»»»»»»»»» Scanning wininet.dll infection


»»»»»»»»»»»»»»»»»»»»»»»» End


zweiter log:

SmitFraudFix v2.74

Scan done at 11:33:40,65, 11.07.2006
Run from C:\Dokumente und Einstellungen\Felix\Desktop\Internetsachen\SmitfraudFix\SmitfraudFix
OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT
Fix ran in normal mode

»»»»»»»»»»»»»»»»»»»»»»»» Before SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]
"cinnamomum"="{93ac7c30-3878-4eaa-9420-7977285df5b1}"


»»»»»»»»»»»»»»»»»»»»»»»» Killing process


»»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix

GenericRenosFix by S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Deleting infected files

C:\WINDOWS\system32\ixt?.dll Deleted
C:\WINDOWS\system32\pmnqguh.dll Deleted
C:\DOKUME~1\Felix\FAVORI~1\Antivirus Test Online.url Deleted
C:\Programme\SpyQuake2.com\ Deleted

»»»»»»»»»»»»»»»»»»»»»»»» Deleting Temp Files


»»»»»»»»»»»»»»»»»»»»»»»» Registry Cleaning

Registry Cleaning done.

»»»»»»»»»»»»»»»»»»»»»»»» After SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» End

#8 Hallo liebe Freunde der Volksmusik.

Hab mir auch grade Spyquake eingefangen.

Wer keine Lust hat sich soviel Stress damit zu machen, der kann ja mal
folgendes tun.

http://www.short-media.com/forum/showthread.php?t=44053

Auf diese Seite gehen, sich die "Roguescanfix.exe" ziehen, anklicken und
weg ist Spyquake.

Nur mal so.

Gruß

Kitsune-Kun

#9 Nun arbeite noch alles weitere ab... dann gebe ich weitere Anweisungen

erstelle eine neue : neu.bat (beachte, dass alles bisher gepostete wieder erscheint ! kopiere also nur den letzten Teil ab)

Zitat

cd\
C:\Dokumente und Einstellungen\Muttern\Anwendungsdaten\Microsoft\Vorlagen" >>files.txt
dir "C:\Dokumente und Einstellungen\Muttern\Anwendungsdaten\Microsoft" >>files.txt
dir "C:\Programme\ToolBar888" >>files.txt
dir "C:\Programme\ipwins" >>files.txt
dir "C:\Programme\Gemeinsame Dateien\{900E6FC0-0960-1031-0407-050312050031}" >>files.txt
dir "C:\WINDOWS\system32\components" >>files.txt
dir "C:\Programme\InetGet2" >>files.txt
dir "C:\Programme\Common Files" >>files.txt
dir "C:\Dokumente und Einstellungen\%UserName%\Lokale Einstellungen\Temp" >>files.txt
dir "C:\WINDOWS\Temp" >>files.txt
dir "C:\Temp" >>files.txt
dir "C:\Programme" >>files.txt
dir "C:\Dokumente und Einstellungen\%UserName%\Anwendungsdaten" >>files.txt
dir "C:\Dokumente und Einstellungen\%UserName%\Lokale Einstellungen\Anwendungsdaten" >>files.txt
dir "C:\Programme\Gemeinsame Dateien" >>files.txt
notepad files.txt

__________
MfG Sabina

rund um die PC-Sicherheit

#10 Kitsune-Kun

leider ist es nicht nur der SpywareQuake (dieser Thread hier ist ein Beispiel dafuer)
mach dich mal schlau:
http://virus-protect.org/artikel/spyware/spywarequake.html
__________
MfG Sabina

rund um die PC-Sicherheit

#11 Verzeichnis von C:\Dokumente und Einstellungen\Muttern\Anwendungsdaten\Microsoft

27.05.2006 19:33 <DIR> AddIns
26.05.2006 22:21 <DIR> Address Book
12.05.2006 17:12 <DIR> CLR Security Config
19.06.2006 07:04 <DIR> Excel
11.08.2004 19:12 <DIR> IMJP8_1
11.08.2004 19:05 <DIR> Internet Explorer
11.08.2004 19:06 <DIR> Media Player
15.06.2006 17:28 <DIR> Office
15.06.2006 17:28 <DIR> Outlook
29.06.2006 21:30 <DIR> Proof
02.07.2006 22:00 <DIR> Vorlagen
25.04.2005 17:03 59.124 Vorlagen.dll
11.08.2004 19:14 <DIR> Windows
18.06.2006 15:49 <DIR> Word
1 Datei(en) 59.124 Bytes
13 Verzeichnis(se), 214.890.897.408 Bytes frei
Datentr„ger in Laufwerk C: ist HDD
Volumeseriennummer: 785A-7665

Verzeichnis von C:\Programme

Datentr„ger in Laufwerk C: ist HDD
Volumeseriennummer: 785A-7665

Verzeichnis von C:\Programme

Datentr„ger in Laufwerk C: ist HDD
Volumeseriennummer: 785A-7665

Verzeichnis von C:\Programme\Gemeinsame Dateien

Datentr„ger in Laufwerk C: ist HDD
Volumeseriennummer: 785A-7665

Verzeichnis von C:\WINDOWS\system32

Datentr„ger in Laufwerk C: ist HDD
Volumeseriennummer: 785A-7665

Verzeichnis von C:\Programme

Datentr„ger in Laufwerk C: ist HDD
Volumeseriennummer: 785A-7665

Verzeichnis von C:\Programme

Datentr„ger in Laufwerk C: ist HDD
Volumeseriennummer: 785A-7665

Verzeichnis von C:\Dokumente und Einstellungen\Felix\Lokale Einstellungen\Temp

11.07.2006 11:54 <DIR> .
11.07.2006 11:54 <DIR> ..
11.07.2006 11:54 412 jusched.log
1 Datei(en) 412 Bytes
2 Verzeichnis(se), 214.890.893.312 Bytes frei
Datentr„ger in Laufwerk C: ist HDD
Volumeseriennummer: 785A-7665

Verzeichnis von C:\WINDOWS\Temp

11.07.2006 11:54 <DIR> .
11.07.2006 11:54 <DIR> ..
11.07.2006 11:54 0 CLML_AGENT_LOG1.txt
11.07.2006 11:54 0 sqlite_rewpurB6MKLA0gh
2 Datei(en) 0 Bytes
2 Verzeichnis(se), 214.890.893.312 Bytes frei
Datentr„ger in Laufwerk C: ist HDD
Volumeseriennummer: 785A-7665

Verzeichnis von C:\Temp

10.07.2006 18:12 <DIR> .
10.07.2006 18:12 <DIR> ..
0 Datei(en) 0 Bytes
2 Verzeichnis(se), 214.890.893.312 Bytes frei
Datentr„ger in Laufwerk C: ist HDD
Volumeseriennummer: 785A-7665

Verzeichnis von C:\Programme

11.07.2006 11:41 <DIR> .
11.07.2006 11:41 <DIR> ..
12.05.2006 17:22 <DIR> Adobe
06.07.2006 16:35 <DIR> AntiVir PersonalEdition Classic
23.05.2006 20:53 <DIR> AOL 9.0
09.07.2006 01:00 <DIR> CleanUp!
11.08.2004 19:03 <DIR> ComPlus Applications
12.05.2006 17:34 <DIR> CyberLink
23.05.2006 21:00 <DIR> DT
08.07.2006 14:20 <DIR> EA GAMES
25.05.2006 13:39 <DIR> EA SPORTS
11.07.2006 11:42 <DIR> Gemeinsame Dateien
12.05.2006 17:24 <DIR> GMixon
12.05.2006 17:24 <DIR> Goto Software
08.07.2006 00:56 <DIR> Hamachi
09.07.2006 00:18 <DIR> HLSW
09.07.2006 00:01 <DIR> ICQLite
01.07.2006 17:30 <DIR> Internet Explorer
12.05.2006 17:18 <DIR> Java
06.07.2006 16:37 <DIR> Lavasoft
12.05.2006 17:23 <DIR> Learn2.com
12.05.2006 17:14 <DIR> Messenger
11.08.2004 19:06 <DIR> microsoft frontpage
12.05.2006 17:33 <DIR> Microsoft Office
12.05.2006 17:33 <DIR> Microsoft Works
12.05.2006 17:33 <DIR> Microsoft.NET
25.05.2006 16:20 <DIR> Monte Cristo
11.08.2004 19:04 <DIR> Movie Maker
11.07.2006 11:55 <DIR> Mozilla Firefox
11.08.2004 19:02 <DIR> MSN
11.08.2004 19:02 <DIR> MSN Gaming Zone
11.06.2006 00:26 <DIR> Nero
11.08.2004 19:03 <DIR> NetMeeting
12.05.2006 17:24 <DIR> Norman
11.08.2004 19:02 <DIR> Online Services
11.08.2004 19:04 <DIR> Online-Dienste
26.05.2006 21:07 <DIR> Outlook Express
13.06.2006 09:30 <DIR> QIP
12.05.2006 17:23 <DIR> QuickTime
05.07.2006 18:12 <DIR> RapidCheck
12.05.2006 17:23 <DIR> Real
12.05.2006 17:13 <DIR> Realtek
12.05.2006 17:28 <DIR> ShowTime
12.05.2006 17:36 <DIR> Sonic
11.07.2006 11:54 <DIR> Steam
23.05.2006 21:02 <DIR> T-Sinus 130 DSL
27.05.2006 13:29 <DIR> Teamspeak2_RC2
12.05.2006 17:31 <DIR> Ulead Systems
09.06.2006 17:35 <DIR> VideoLAN
12.05.2006 17:23 <DIR> Viewpoint
07.07.2006 04:05 <DIR> Winamp
12.05.2006 17:19 <DIR> Windows Media Player
12.05.2006 17:30 <DIR> Windows Media-Komponenten
11.08.2004 19:02 <DIR> Windows NT
02.06.2006 14:01 <DIR> WinRAR
11.08.2004 19:06 <DIR> xerox
26.05.2006 12:00 <DIR> YOU DON'T KNOW JACK 2
0 Datei(en) 0 Bytes
57 Verzeichnis(se), 214.890.893.312 Bytes frei
Datentr„ger in Laufwerk C: ist HDD
Volumeseriennummer: 785A-7665

Verzeichnis von C:\Dokumente und Einstellungen\Felix\Anwendungsdaten

15.06.2006 19:11 <DIR> Adobe
02.07.2006 15:04 <DIR> AdobeUM
04.07.2006 12:06 <DIR> Ahead
10.06.2006 23:10 <DIR> CyberLink
08.07.2006 01:31 <DIR> Hamachi
08.07.2006 23:56 <DIR> ICQLite
11.08.2004 19:11 <DIR> Identities
06.07.2006 16:37 <DIR> Lavasoft
12.05.2006 17:28 <DIR> Macromedia
26.05.2006 16:13 <DIR> Mozilla
03.07.2006 19:06 <DIR> RapidGet
11.07.2006 11:42 <DIR> Skype
26.05.2006 22:07 <DIR> Sun
02.07.2006 17:44 <DIR> teamspeak2
17.06.2006 19:34 <DIR> Ulead Systems
09.06.2006 17:43 <DIR> vlc
23.05.2006 22:13 0 wklnhst.dat
27.05.2006 19:56 <DIR> Xfire
12.05.2006 17:23 <DIR> You've Got Pictures Screensaver
1 Datei(en) 0 Bytes
18 Verzeichnis(se), 214.890.889.216 Bytes frei
Datentr„ger in Laufwerk C: ist HDD
Volumeseriennummer: 785A-7665

Verzeichnis von C:\Dokumente und Einstellungen\Felix\Lokale Einstellungen\Anwendungsdaten

23.05.2006 21:46 <DIR> Adobe
11.06.2006 00:31 <DIR> Ahead
12.05.2006 17:39 <DIR> ApplicationHistory
09.07.2006 16:37 56.832 DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
12.05.2006 17:12 141 fusioncache.dat
28.05.2006 13:20 73.336 GDIPFONTCACHEV1.DAT
07.07.2006 04:01 <DIR> Microsoft
26.05.2006 16:13 <DIR> Mozilla
06.07.2006 20:45 <DIR> PowerCinema
12.05.2006 17:18 <DIR> {3248F0A6-6813-11D6-A77B-00B0D0150040}
3 Datei(en) 130.309 Bytes
7 Verzeichnis(se), 214.890.889.216 Bytes frei
Datentr„ger in Laufwerk C: ist HDD
Volumeseriennummer: 785A-7665

Verzeichnis von C:\Programme\Gemeinsame Dateien

11.07.2006 11:42 <DIR> .
11.07.2006 11:42 <DIR> ..
12.05.2006 17:22 <DIR> Adobe
11.06.2006 00:26 <DIR> Ahead
12.05.2006 17:23 <DIR> aol
12.05.2006 17:23 <DIR> aolshare
12.05.2006 17:34 <DIR> DESIGNER
11.08.2004 19:04 <DIR> Dienste
12.05.2006 17:34 <DIR> InstallShield
12.05.2006 17:18 <DIR> Java
12.05.2006 17:34 <DIR> Microsoft Shared
11.08.2004 19:04 <DIR> MSSoap
12.05.2006 17:23 <DIR> Nullsoft
11.08.2004 18:57 <DIR> ODBC
12.05.2006 17:23 <DIR> Real
12.05.2006 17:36 <DIR> Sonic Shared
11.08.2004 18:57 <DIR> SpeechEngines
12.05.2006 17:28 <DIR> SureThing Shared
28.05.2006 12:24 <DIR> Symantec Shared
26.05.2006 21:07 <DIR> System
12.05.2006 17:30 <DIR> Ulead Systems
0 Datei(en) 0 Bytes
21 Verzeichnis(se), 214.890.889.216 Bytes frei


so, habe bis hier hin alles ausgeführt, habe allerdings

Zitat

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://google.bearshare.com/de/ und
O21 - SSODL: cinnamomum - {93ac7c30-3878-4eaa-9420-7977285df5b1} - C:\Dokumente und Einstellungen\Muttern\Anwendungsdaten\Microsoft\Vorlagen.dll

nicht entfernt, das das erste nach dem löschen wieder in die normale google-startpage umgenannt war und O21 gar nicht in der liste stand. es war nur ein O14 und dann ein O23...
ausserde, ist im C:\WINDOWS\Temp noch eine datei Namens sqlite_rewpurB6MKLA0gh die ich nicht löschen kann, da sie von anderen programmen benutzt wird.

#12 du hast alles wunderbar abgearbeitet von mir aus ist alles clean.
scanne mit panda und poste den scanreport
http://virus-protect.org/onlinescan.html

(der scanner wird das backup vom avenger finden, lass es mal, ich will wissen wie die viren heissen ...und ob panda sie erkennt.)
nach dem scan loesche das backup vom Avenger
__________
MfG Sabina

rund um die PC-Sicherheit

#13 guten tag.
spät aber dennoch melde ich mich (leider) mal wieder. allerdings ohne den panda scan, da ich seit neustem wieder n paar probleme habe.
anscheinend war das problem doch nicht komplett gelöst und hat sich wohl noch weiter ausgebaut.
heute morgen bekam ich beim surfen auf einmal wieder die altbekannte nachricht, das winantivirus2006 (oder so) nen full system scan machen will, bla bla bla... ich dachte mir nur "son Schei...", hab die fenster alle geschlossen und erstmal nen scan mit adaware gemacht. dort wurden dann 109 sachen gefunden, die ganze pallete von prozessen über registry sachen bis zu files war alles dabei. ausserdem schlug während des adware laufes antivir ununterbrochen alarm weil irgendwelche trojaner gefunden wurden, den pfad habe ich jetzt leider nicht parat, denn es kommt noch ein weiteres erschwerniss dazu: ich kann einige dinge wie zB die systemsteuerung oder ordner auf meinem desktop (also gar keinen) nicht mehr öffnen.
das macht es mir schon einigermaßen schwer nen hijacklog zu erstellen, ich kriegs nicht in das direkt, ohne ordner auf den desktop zu entpacken, denn sonst komm ich nicht ran.
was soll ich jetzt tun? bitte dringenst um hilfe!

edit: ich trottel-.- sachen direkt entpacken is nu nich so ganz schwer. naja, hier schon mal der hijack logg, die clean up und datfind sachen folgen auch so schnell wie möglich.

Logfile of HijackThis v1.99.1
Scan saved at 12:11:37, on 05.08.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe
C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
C:\Programme\Alwil Software\Avast4\ashServ.exe
c:\APPS\Powercinema\Kernel\TV\CLCapSvc.exe
c:\APPS\Powercinema\Kernel\CLML_NTService\CLMLServer.exe
c:\APPS\HIDSERVICE\HIDSERVICE.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Apps\Softex\OmniPass\Omniserv.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Gemeinsame Dateien\Ulead Systems\DVD\ULCDRSvr.exe
c:\APPS\Powercinema\Kernel\TV\CLSched.exe
C:\Programme\Alwil Software\Avast4\ashMaiSv.exe
C:\Programme\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\system32\winlogon.exe
C:\Apps\Softex\OmniPass\OPXPApp.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Programme\Java\jre1.5.0_04\bin\jusched.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\PROGRA~1\GOTOSO~1\VADERE~1\Vaderetro_oe.exe
C:\Apps\Softex\OmniPass\scureapp.exe
C:\Programme\Gemeinsame Dateien\Ulead Systems\AutoDetector\monitor.exe
C:\APPS\Powercinema\PCMService.exe
C:\apps\ABoard\ABoard.exe
C:\Programme\Winamp\winampa.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\ICQLite\ICQLite.exe
C:\Programme\Java\jre1.5.0_04\bin\jucheck.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\apps\ABoard\AOSD.exe
C:\APPS\SMP\SmpSys.exe
C:\programme\steam\steam.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\DT\T-Sinus 130data 11Mbps WLAN USB Adapter\monitordt.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\WINDOWS\explorer.exe
C:\Programme\AntiVir PersonalEdition Classic\avcenter.exe
C:\Programme\AntiVir PersonalEdition Classic\avscan.exe
C:\Dokumente und Einstellungen\Felix\Desktop\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://google.bearshare.com/de/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Packard Bell
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [High Definition Audio Property Page Shortcut] HDAShCut.exe
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_04\bin\jusched.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [Vade Retro Outlook Express] "C:\PROGRA~1\GOTOSO~1\VADERE~1\Vaderetro_oe.exe"
O4 - HKLM\..\Run: [OmniPass] C:\Apps\Softex\OmniPass\scureapp.exe
O4 - HKLM\..\Run: [Ulead AutoDetector v2] C:\Programme\Gemeinsame Dateien\Ulead Systems\AutoDetector\monitor.exe
O4 - HKLM\..\Run: [PCMService] "c:\APPS\Powercinema\PCMService.exe"
O4 - HKLM\..\Run: [ACTIVBOARD] c:\apps\ABoard\ABoard.exe
O4 - HKLM\..\Run: [EmailChecker] C:\APPS\EmailChecker\ech.exe
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [ICQ Lite] "C:\Programme\ICQLite\ICQLite.exe" -minimize
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [SmpcSys] C:\APPS\SMP\SmpSys.exe
O4 - HKCU\..\Run: [Steam] "c:\programme\steam\steam.exe" -silent
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [Skype] "C:\APPS\skype\phone\Skype.exe" /nosplash /minimized
O4 - Global Startup: T-Sinus 130data WLAN USB Monitor.lnk = ?
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\system32\Shdocvw.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=file://C:\APPS\IE\offline\ger.htm
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/eng/partner/default/kavwebscan_unicode.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: AOL Connectivity Service (AOL ACS) - America Online, Inc. - C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Programme\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Programme\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Programme\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: CyberLink Background Capture Service (CBCS) (CLCapSvc) - Unknown owner - c:\APPS\Powercinema\Kernel\TV\CLCapSvc.exe
O23 - Service: CyberLink Task Scheduler (CTS) (CLSched) - Unknown owner - c:\APPS\Powercinema\Kernel\TV\CLSched.exe
O23 - Service: CyberLink Media Library Service - Cyberlink - c:\APPS\Powercinema\Kernel\CLML_NTService\CLMLServer.exe
O23 - Service: Generic Service for HID Keyboard Input Collections (GenericHidService) - Unknown owner - c:\APPS\HIDSERVICE\HIDSERVICE.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Softex OmniPass Service (omniserv) - Softex Inc. - C:\Apps\Softex\OmniPass\Omniserv.exe
O23 - Service: Ulead Burning Helper (UleadBurningHelper) - Ulead Systems, Inc. - C:\Programme\Gemeinsame Dateien\Ulead Systems\DVD\ULCDRSvr.exe

#14 poste bitte das log
http://virus-protect.org/artikel/tools/combofix.html
__________
MfG Sabina

rund um die PC-Sicherheit

#15 Start Time= 05.08.2006 12:26:39,15
Running from: C:\Dokumente und Einstellungen\Felix\Desktop

QuickScan did not find any signs of infected files

(((((((((((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))))


2006-07-27 16:46:20 ( .D... ) "C:\Programme\BearShare"
2006-07-25 14:27:24 65556 ( A.... ) "C:\WINDOWS\system32\iutvmiln.exe"
2006-07-20 10:57:36 ( .D... ) "C:\Programme\Alwil Software"
2006-07-14 16:47:20 ( .D... ) "C:\Programme\EA GAMES"
2006-07-11 11:29:02 573492 ( ..SH. ) "C:\WINDOWS\system32\ssttt.dll"
2006-07-11 11:19:44 38925 ( ..SH. ) "C:\WINDOWS\system32\opnligd.dll"
2006-07-09 01:00:06 ( .D... ) "C:\Programme\CleanUp!"
2006-07-08 23:55:48 ( .D... ) "C:\Programme\ICQLite"
2006-07-08 23:55:48 ( .D... ) "C:\Dokumente und Einstellungen\Felix\Anwendungsdaten\ICQLite"
2006-07-08 00:56:14 ( .D... ) "C:\Dokumente und Einstellungen\Felix\Anwendungsdaten\Hamachi"
2006-07-08 00:55:58 ( .D... ) "C:\Programme\Hamachi"
2006-07-06 16:37:20 ( .D... ) "C:\Dokumente und Einstellungen\Felix\Anwendungsdaten\Lavasoft"
2006-07-06 16:37:14 ( .D... ) "C:\Programme\Lavasoft"
2006-07-06 16:35:58 ( .D... ) "C:\Programme\AntiVir PersonalEdition Classic"
2006-07-05 18:12:50 663040 ( A.... ) "C:\WINDOWS\is-5EHVI.exe"
2006-07-05 18:12:50 ( .D... ) "C:\Programme\RapidCheck"
2006-07-03 19:06:32 ( .D... ) "C:\Dokumente und Einstellungen\Felix\Anwendungsdaten\RapidGet"
2006-06-17 19:34:38 ( .D... ) "C:\Dokumente und Einstellungen\Felix\Anwendungsdaten\Ulead Systems"
2006-06-11 00:26:54 ( .D... ) "C:\Programme\Nero"
2006-06-11 00:08:04 ( .D... ) "C:\Dokumente und Einstellungen\Felix\Anwendungsdaten\Ahead"
2006-06-11 00:06:22 ( .D... ) "C:\Programme\Gemeinsame Dateien\Ahead"
2006-06-10 23:09:44 ( .D... ) "C:\Dokumente und Einstellungen\Felix\Anwendungsdaten\CyberLink"
2006-06-09 17:43:42 ( .D... ) "C:\Dokumente und Einstellungen\Felix\Anwendungsdaten\vlc"
2006-06-09 17:35:44 ( .D... ) "C:\Programme\VideoLAN"
2006-06-06 23:53:20 ( .D... ) "C:\Dokumente und Einstellungen\Felix\Anwendungsdaten\AdobeUM"
2006-06-02 11:04:44 57384 ( A.... ) "C:\WINDOWS\system32\avsda.dll"
2006-05-31 11:02:04 624640 ( A.... ) "C:\WINDOWS\system32\aswBoot.exe"
2006-05-31 10:54:36 90112 ( A.... ) "C:\WINDOWS\system32\AVASTSS.scr"
2006-05-23 22:13:02 0 ( A.... ) "C:\Dokumente und Einstellungen\Felix\Anwendungsdaten\wklnhst.dat"
2006-05-19 15:09:50 148480 ( A.... ) "C:\WINDOWS\system32\dnsapi.dll"
2006-05-19 15:09:50 112128 ( A.... ) "C:\WINDOWS\system32\dhcpcsvc.dll"
2006-05-19 15:09:50 95744 ( A.... ) "C:\WINDOWS\system32\iphlpapi.dll"
2006-05-12 17:23:04 278528 ( A.... ) "C:\WINDOWS\system32\pncrt.dll"
2006-05-12 17:23:04 157696 ( A.... ) "C:\WINDOWS\system32\rmoc3260.dll"
2006-05-12 17:23:04 6656 ( A.... ) "C:\WINDOWS\system32\pndx5016.dll"
2006-05-12 17:23:04 5632 ( A.... ) "C:\WINDOWS\system32\pndx5032.dll"


(((((((((((((((((((((((((((((((((((((( Files Created - Last 30days )))))))))))))))))))))))))))))))))))))))))))


2006-07-25 14:27 65.556 C:\WINDOWS\system32\iutvmiln.exe
2006-07-20 10:57 90.112 C:\WINDOWS\system32\AVASTSS.scr
2006-07-20 10:57 624.640 C:\WINDOWS\system32\aswBoot.exe
2006-07-14 16:55 2.337.488 C:\WINDOWS\system32\d3dx9_25.dll
2006-07-14 16:55 2.222.800 C:\WINDOWS\system32\d3dx9_24.dll
2006-07-11 15:05 73.728 C:\WINDOWS\system32\asuninst.exe
2006-07-11 15:05 11.776 C:\WINDOWS\system32\ZPORT4AS.dll
2006-07-11 11:28 573.492 C:\WINDOWS\system32\ssttt.dll
2006-07-11 11:27 53.248 C:\WINDOWS\system32\Process.exe
2006-07-11 11:27 42.496 C:\WINDOWS\system32\swreg.exe
2006-07-11 11:27 40.960 C:\WINDOWS\system32\swsc.exe
2006-07-11 11:27 288.417 C:\WINDOWS\system32\SrchSTS.exe
2006-07-11 11:19 38.925 C:\WINDOWS\system32\opnligd.dll
2006-07-06 16:35 57.384 C:\WINDOWS\system32\avsda.dll
2006-07-05 18:12 663.040 C:\WINDOWS\is-5EHVI.exe


(((((((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))

*Note* empty entries are not shown

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run]
"IMJPMIG8.1"="\"C:\\WINDOWS\\IME\\imjp8_1\\IMJPMIG.EXE\" /Spoil /RemAdvDef /Migration32"
"PHIME2002ASync"="C:\\WINDOWS\\system32\\IME\\TINTLGNT\\TINTSETP.EXE /SYNC"
"PHIME2002A"="C:\\WINDOWS\\system32\\IME\\TINTLGNT\\TINTSETP.EXE /IMEName"
"High Definition Audio Property Page Shortcut"="HDAShCut.exe"
"RTHDCPL"="RTHDCPL.EXE"
"Alcmtr"="ALCMTR.EXE"
"SunJavaUpdateSched"="C:\\Programme\\Java\\jre1.5.0_04\\bin\\jusched.exe"
"NvCplDaemon"="RUNDLL32.EXE C:\\WINDOWS\\system32\\NvCpl.dll,NvStartup"
"nwiz"="nwiz.exe /install"
"NvMediaCenter"="RUNDLL32.EXE C:\\WINDOWS\\system32\\NvMcTray.dll,NvTaskbarInit"
"Vade Retro Outlook Express"="\"C:\\PROGRA~1\\GOTOSO~1\\VADERE~1\\Vaderetro_oe.exe\""
"OmniPass"="C:\\Apps\\Softex\\OmniPass\\scureapp.exe"
"Ulead AutoDetector v2"="C:\\Programme\\Gemeinsame Dateien\\Ulead Systems\\AutoDetector\\monitor.exe"
"PCMService"="\"c:\\APPS\\Powercinema\\PCMService.exe\""
"ACTIVBOARD"="c:\\apps\\ABoard\\ABoard.exe"
"EmailChecker"="C:\\APPS\\EmailChecker\\ech.exe"
"WinampAgent"="C:\\Programme\\Winamp\\winampa.exe"
"NeroFilterCheck"="C:\\Programme\\Gemeinsame Dateien\\Ahead\\Lib\\NeroCheck.exe"
"avgnt"="\"C:\\Programme\\AntiVir PersonalEdition Classic\\avgnt.exe\" /min"
"ICQ Lite"="\"C:\\Programme\\ICQLite\\ICQLite.exe\" -minimize"
"avast!"="C:\\PROGRA~1\\ALWILS~1\\Avast4\\ashDisp.exe"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\IMAIL]
"Installed"="1"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MAPI]
"Installed"="1"
"NoChange"="1"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MSFS]
"Installed"="1"

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run]
"MSMSGS"="\"C:\\Programme\\Messenger\\msmsgs.exe\" /background"
"SmpcSys"="C:\\APPS\\SMP\\SmpSys.exe"
"Steam"="\"c:\\programme\\steam\\steam.exe\" -silent"
"BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="\"C:\\Programme\\Gemeinsame Dateien\\Ahead\\Lib\\NMBgMonitor.exe\""
"Skype"="\"C:\\APPS\\skype\\phone\\Skype.exe\" /nosplash /minimized"

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer\run]
"{785A7665-0AE9-1031-0324-060105060031}"="\"C:\\Programme\\Gemeinsame Dateien\\{785A7665-0AE9-1031-0324-060105060031}\\Update.exe\" mc-110-12-0000272"

[HKEY_CURRENT_USER\software\microsoft\internet explorer\desktop\components]
"DeskHtmlVersion"=dword:00000110
"DeskHtmlMinorVersion"=dword:00000005
"Settings"=dword:00000001
"GeneralFlags"=dword:00000000

[HKEY_USERS\.default\software\microsoft\windows\currentversion\run]
"CTFMON.EXE"="C:\\WINDOWS\\system32\\CTFMON.EXE"

[HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091

[HKEY_USERS\s-1-5-18\software\microsoft\windows\currentversion\run]
"CTFMON.EXE"="C:\\WINDOWS\\system32\\CTFMON.EXE"

[HKEY_USERS\s-1-5-18\software\microsoft\windows\currentversion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\sharedtaskscheduler]
"{438755C2-A8BA-11D1-B96B-00A0C90312E1}"="Browseui preloader"
"{8C7461EF-2B13-11d2-BE35-3078302C2030}"="Component Categories cache daemon"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shellexecutehooks]
"{AEB6717E-7E19-11d0-97EE-00C04FD91972}"=""

HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\system



Contents of the 'Scheduled Tasks' folder

Completion time: 05.08.2006 12:26:56,76
ComboFix ver 06.07.15/28 - This logfile is located at C:\ComboFix.txt

interessant... bearshare is also doch noch drauf O.o.

aaaah.... jetz is das ja schon mal lustig rot... was sollsch als nächstes tun?