Wie entferne ich Spywarequake etc.?

#0
17.07.2006, 13:56
Member

Beiträge: 11
#1 Hallo, ich habe das gleiche Problem wie der Autor "Denk" vom 7.7.06 !
Ständige Popups und Einwalversuche und das lästige Fake Programm "Spyquake", sowie die Meldung "Your System is infected"
Bitte um Hilfe diesen lästigen Mist loszuwerden.
Alle Versuch schlugen bisher fehl.

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: A4B6-2D10

Verzeichnis von C:\WINDOWS\system32

15.07.2006 17:30 867 dfhkj.ini
15.07.2006 17:17 16.384 ixt0.dll
15.07.2006 17:17 5.632 ismon.exe
15.07.2006 17:17 65.040 ld101.tmp
14.07.2006 21:13 4.286 ot.ico
14.07.2006 21:13 4.286 ts.ico
14.07.2006 18:31 653.046 dfhkj.bak2
14.07.2006 13:03 4.952 stdole3.tlb
14.07.2006 11:50 8.612 isnotify.exe
14.07.2006 11:50 26.112 issearch.exe
14.07.2006 11:48 39.440 ishost.exe
13.07.2006 11:53 98.324 mdehxnvu.dll
11.07.2006 15:30 9.728 simpole.tlb
11.07.2006 15:30 58.880 hp102.tmp
11.07.2006 14:34 58.880 hp101.tmp
11.07.2006 14:31 143 mcrh.tmp
11.07.2006 14:18 579.506 dfhkj.bak1
11.07.2006 14:18 569.396 jkhfd.dll
11.07.2006 12:13 11.804 atmclk.exe
11.07.2006 12:13 58.880 hp100.tmp
11.07.2006 02:10 81.920 dexplore.dll
11.07.2006 02:04 2.206 wpa.dbl
10.07.2006 12:37 39.437 efcdefd.dll
10.07.2006 12:37 76.816 regperf.exe
10.07.2006 12:37 18.432 winodn32.dll

07.07.2006 03:21 6.757.792 MRT.exe
13.06.2006 17:00 130.096 FNTCACHE.DAT
01.06.2006 20:47 163.840 jgdw400.dll
01.06.2006 20:47 27.648 jgpl400.dll
29.05.2006 17:30 1.494.016 shdocvw.dll
19.05.2006 17:09 3.073.536 mshtml.dll
19.05.2006 15:09 148.480 dnsapi.dll
19.05.2006 15:09 95.744 iphlpapi.dll
19.05.2006 15:09 112.128 dhcpcsvc.dll
18.05.2006 07:36 450.560 jscript.dll
15.05.2006 22:01 1 SI.bin
14.05.2006 10:48 181.248 rasmans.dll
11.05.2006 10:57 27.136 xpsp3res.dll
10.05.2006 07:23 664.064 wininet.dll
10.05.2006 07:22 615.936 urlmon.dll
10.05.2006 07:22 474.624 shlwapi.dll
10.05.2006 07:22 532.480 mstime.dll


Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: A4B6-2D10

Verzeichnis von C:\DOKUME~1\Stefan\LOKALE~1\Temp

15.07.2006 17:27 48.718 jusched.log
15.07.2006 17:26 16.384 ~DF1FA.tmp
15.07.2006 17:24 222 STG116.tmp
15.07.2006 17:24 25.214 STG115.tmp
15.07.2006 17:24 25.214 STG114.tmp
15.07.2006 17:19 16.384 Perflib_Perfdata_e78.dat
15.07.2006 17:19 16.384 Perflib_Perfdata_e80.dat
15.07.2006 17:19 16.384 ~DFD12E.tmp
15.07.2006 17:17 16.384 Perflib_Perfdata_e8.dat
15.07.2006 17:17 0 BCG2.tmp
15.07.2006 17:17 16.384 ~DF372B.tmp
15.07.2006 17:03 16.384 ~DFDE70.tmp
15.07.2006 15:45 16.384 ~DF778A.tmp
15.07.2006 15:39 32.768 AVP19B8.tmp
15.07.2006 15:39 4.096 AVP19B6.tmp
15.07.2006 15:39 12.288 AVP19B7.tmp
15.07.2006 15:39 16.384 AVP19B5.tmp
15.07.2006 14:21 16.384 ~DF82B9.tmp
15.07.2006 09:58 16.384 Perflib_Perfdata_fbc.dat
15.07.2006 09:58 16.384 Perflib_Perfdata_fc4.dat
15.07.2006 09:56 16.384 Perflib_Perfdata_b4.dat
15.07.2006 09:56 1.404 BCG42.tmp
15.07.2006 09:56 16.384 ~DF3033.tmp
14.07.2006 22:02 32.768 AVPDE0.tmp
14.07.2006 22:02 4.096 AVPDDE.tmp
14.07.2006 22:02 12.288 AVPDDF.tmp
14.07.2006 22:02 16.384 AVPDDD.tmp
14.07.2006 20:11 1.404 BCG3F.tmp
14.07.2006 20:11 16.384 ~DF4A89.tmp
14.07.2006 15:01 32.768 AVPEC2.tmp
14.07.2006 15:01 4.096 AVPEC0.tmp
14.07.2006 15:01 12.288 AVPEC1.tmp
14.07.2006 15:01 16.384 AVPEBF.tmp
14.07.2006 14:05 16.384 ~DF865C.tmp
14.07.2006 14:03 16.384 Perflib_Perfdata_dd8.dat
14.07.2006 14:03 16.384 Perflib_Perfdata_dd0.dat
14.07.2006 14:02 16.384 Perflib_Perfdata_108.dat
14.07.2006 14:02 1.404 BCG3E.tmp
14.07.2006 14:02 16.384 ~DF5226.tmp
14.07.2006 12:56 16.384 ~DFBF41.tmp
14.07.2006 12:02 16.384 ~DF4388.tmp
14.07.2006 11:45 16.384 ~DFF496.tmp
14.07.2006 11:41 16.384 ~DF47E6.tmp
14.07.2006 11:23 16.384 ~DF3EF1.tmp
14.07.2006 11:22 16.384 ~DF3237.tmp
14.07.2006 01:17 73.276 ~e5.0001
14.07.2006 01:07 16.384 ~DFFCFA.tmp
13.07.2006 20:28 16.384 ~DF783.tmp
13.07.2006 18:08 16.384 ~DF1AD9.tmp
13.07.2006 17:53 16.384 ~DF771B.tmp
13.07.2006 10:37 16.384 ~DF51D4.tmp
13.07.2006 10:33 16.384 ~DF22F3.tmp
13.07.2006 01:48 16.384 ~DF1D0A.tmp
13.07.2006 01:39 222 STG30F.tmp
13.07.2006 01:39 25.214 STG30E.tmp
13.07.2006 01:39 25.214 STG30D.tmp
13.07.2006 01:24 16.384 ~DFDC25.tmp
13.07.2006 01:10 16.384 ~DF1135.tmp
12.07.2006 10:50 16.384 ~DF42E0.tmp
11.07.2006 21:33 16.384 ~DFFBEB.tmp
11.07.2006 21:23 4.952 temp.frA9D3
11.07.2006 14:22 222 STG1970.tmp
11.07.2006 14:22 25.214 STG196F.tmp
11.07.2006 14:22 25.214 STG196E.tmp
11.07.2006 14:22 188.158 b121.exe
11.07.2006 14:14 167.991 b122.exe
11.07.2006 12:13 90.112 temp.fr92DB
11.07.2006 02:06 16.384 ~DF14D8.tmp
10.07.2006 12:41 71.680 !update.exe
10.07.2006 12:37 184 mst602.bat
10.07.2006 12:37 0 win643.tmp
10.07.2006 12:37 0 win642.tmp
10.07.2006 12:37 0 win63F.tmp
10.07.2006 12:37 0 win63A.tmp
10.07.2006 12:37 0 win636.tmp
10.07.2006 12:37 151.112 win62F.tmp.exe
10.07.2006 12:37 0 win62C.tmp
10.07.2006 12:37 310.482 win62B.tmp.exe
10.07.2006 12:37 43 removalfile.bat
10.07.2006 12:37 0 win627.tmp
10.07.2006 12:37 0 win61D.tmp
10.07.2006 12:37 0 win610.tmp
10.07.2006 12:37 0 win60F.tmp
10.07.2006 12:37 915 win609.tmp
10.07.2006 12:37 18.432 mst602.tmp

08.07.2006 20:56 104 0CF6E057.TMP
08.07.2006 10:48 16.384 ~DF83FB.tmp
08.07.2006 10:45 16.384 ~DFEBB7.tmp
03.05.2006 11:42 3.988.680 betandwineuro_de.exe
16.09.2005 19:58 180.736 temp.fr8C02
12.10.2004 11:14 57.344 InstHelp.dll
91 Datei(en) 6.344.665 Bytes
0 Verzeichnis(se), 14.011.310.080 Bytes frei


Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: A4B6-2D10

Verzeichnis von C:\

15.07.2006 17:33 0 sys.txt
15.07.2006 17:32 8.210 windows.txt
15.07.2006 17:32 8.210 system.txt
15.07.2006 17:31 4.792 systemtemp.txt
15.07.2006 17:30 103.094 system32.txt
15.07.2006 17:16 1.610.612.736 pagefile.sys
13.07.2006 17:57 389 boot.ini
22.04.2006 19:48 91 sysrun23.dll
18.07.2005 13:08 3.567 LGSInst.Log
16.07.2005 11:34 0 IO.SYS
16.07.2005 11:34 0 CONFIG.SYS
16.07.2005 11:34 0 AUTOEXEC.BAT
16.07.2005 11:34 0 MSDOS.SYS
31.12.2002 14:00 4.952 bootfont.bin
31.12.2002 14:00 251.184 ntldr
31.12.2002 14:00 47.564 NTDETECT.COM
16 Datei(en) 1.611.044.789 Bytes
0 Verzeichnis(se), 14.011.256.832 Bytes frei
Seitenanfang Seitenende
17.07.2006, 16:26
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#2 Step

1.
Hijackthis
http://computercops.biz/zx/Merijn/hijackthis.zip
http://virus-protect.org/hjtkurz.html
Lade/entpacke HijackThis in einem Ordner
--> None of the above just start the program --> Save--> Savelog -->es öffnet sich der Editor
nun das KOMPLETTE Log mit rechtem Mausklick abkopieren und ins Forum mit rechtem Mausklick "einfügen"

2.
Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als listen.bat mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden. --> die listen.bat doppelt klicken--> kopiere den Text, der erscheint

Zitat

cd\
dir "C:\WINDOWS\system32\components" >>files.txt
dir "C:\WINDOWS\Downloaded Program Files" >>files.txt
dir "C:\Programme\Common Files" >>files.txt
dir "C:\Dokumente und Einstellungen\%UserName%\Eigene Dateien" >>files.txt
dir "C:\Dokumente und Einstellungen\%UserName%\Lokale Einstellungen\Temp" >>files.txt
dir "C:\WINDOWS\Temp" >>files.txt
dir "C:\Temp" >>files.txt
dir "C:\Programme" >>files.txt
dir "C:\Dokumente und Einstellungen\%UserName%\Anwendungsdaten" >>files.txt
dir "C:\Programme\Gemeinsame Dateien" >>files.txt
notepad files.txt
**
es fehlt das dritte log von datfindbat -> C:\Windows
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
17.07.2006, 17:48
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#3 bitte korrekt arbeiten ! du hast wieder das System32-Log gepostet und nicht das von Windows
und die andere Textdatei (listen.bat)...wo ist der text ???
und wo ist das log von HijackThis ?
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
18.07.2006, 12:56
Member

Themenstarter

Beiträge: 11
#4 Logfile of HijackThis v1.99.1
Scan saved at 12:49:39, on 18.07.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\TuneUp Utilities 2006\WinStylerThemeSvc.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\isnotify.exe
C:\WINDOWS\system32\ishost.exe
C:\WINDOWS\system32\issearch.exe

C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Gemeinsame Dateien\G DATA\AVKMail\AVKPOP.EXE
D:\Programme\Winamp\winampa.exe
C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\Programme\DAEMON Tools\daemon.exe
C:\Programme\ipwins\ipwins.exe
C:\Programme\Gemeinsame Dateien\{A4B62D10-0A64-1031-0826-040208050031}\Update.exe

C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\ismon.exe
C:\Programme\Titlebar Time\Titlebar Time.exe
C:\WINDOWS\system32\SMBOLS~1\svchost.exe
C:\WINDOWS\RACLE~1\svchost.exe

C:\Programme\AntiVirenKit InternetSecurity\Firewall\kavpf.exe
C:\Programme\TClock\TClock.exe
C:\Programme\AntiVirenKit InternetSecurity\AVK\AVKService.exe
C:\Programme\AntiVirenKit InternetSecurity\AVK\AVKWCtl.exe
C:\WINDOWS\system32\SLEE11.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\Programme\Raxco\PerfectDisk\PDSched.exe
C:\WINDOWS\System32\alg.exe
C:\Programme\ArcorOnline\Arcor.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\Programme\Avant Browser\avant.exe
C:\Dokumente und Einstellungen\Stefan\Desktop\hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.arcor.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.arcor.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.arcor.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.arcor.de
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.arcor.de
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Arcor AG & Co. KG
R3 - Default URLSearchHook is missing
O3 - Toolbar: WebFilter-Leiste - {75CD0BC5-E317-449C-9FF6-4986B3D48F64} - C:\PROGRA~1\ANTIVI~1\WEBFIL~1\PAKIEGUI.dll
O3 - Toolbar: (no name) - {CBCC61FA-0221-4ccc-B409-CEE865CACA3A} - (no file)
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [AVK Mail Checker] "C:\Programme\Gemeinsame Dateien\G DATA\AVKMail\AVKPOP.EXE"
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [WinampAgent] D:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\cli.exe" runtime -Delay
O4 - HKLM\..\Run: [DAEMON Tools] "C:\Programme\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [IpWins] C:\Programme\ipwins\ipwins.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Titlebar Time] C:\Programme\Titlebar Time\Titlebar Time.exe
O4 - HKCU\..\Run: [Aoeb] "C:\WINDOWS\system32\SMBOLS~1\svchost.exe" -vt yazr
O4 - HKCU\..\Run: [Blkntk] C:\WINDOWS\RACLE~1\svchost.exe
O4 - HKCU\..\Run: [TClock.exe] C:\Programme\TClock\tclock_install.exe

O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - Startup: Adobe Gamma.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Firewall.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: Webfilter.lnk = C:\Programme\AntiVirenKit InternetSecurity\Webfilter\Webfilter.exe
O8 - Extra context menu item: Add selected links to Link Container - C:\PROGRA~1\ANTIVI~1\WEBFIL~1\System\Scripts\off_collector_sel.htm
O8 - Extra context menu item: Hervorheben - C:\Programme\Avant Browser\Highlight.htm
O8 - Extra context menu item: In neuem Avant Browser öffnen - C:\Programme\Avant Browser\OpenInNewBrowser.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Show domain links - C:\PROGRA~1\ANTIVI~1\WEBFIL~1\System\Scripts\off_domain_links.htm
O8 - Extra context menu item: Suchen - C:\Programme\Avant Browser\Search.htm
O8 - Extra context menu item: Zur Werbebanner-Filterliste hinzufügen - C:\Programme\Avant Browser\AddToADBlackList.htm
O8 - Extra context menu item: Öffne alle Links auf dieser Seite... - C:\Programme\Avant Browser\OpenAllLinks.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab31267.cab
O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab31267.cab
O16 - DPF: {26CBF141-7D0F-46E1-AA06-718958B6E4D2} - http://download.ebay.com/turbo_lister/DE/install.cab
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab31267.cab
O16 - DPF: {54B52E52-8000-4413-BD67-FC7FE24B59F2} (EARTPatchX Class) - http://files.ea.com/downloads/rtpatch/v2/EARTPX.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1121507466352
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O16 - DPF: {A922B6AB-3B87-11D3-B3C2-0008C7DA6CB9} (InetDownload Class) - http://www.arcor.de/vod/dmd/WMDownload.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/binary/ZIntro.cab32846.cab
O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/SolitaireShowdown.cab31267.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{544A9B98-0B8F-4A91-952A-074E44E931F2}: NameServer = 195.50.140.250 195.50.140.114
O20 - AppInit_DLLs: C:\WINDOWS\system32\dexplore.dll
O21 - SSODL: furnariidae - {89e4aaba-3b21-49b3-b922-8ca35193c68e} - (no file)
O21 - SSODL: cinnamomum - {93ac7c30-3878-4eaa-9420-7977285df5b1} - C:\WINDOWS\system32\pmnqguh.dll

O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AVK Service (AVKService) - Unknown owner - C:\Programme\AntiVirenKit InternetSecurity\AVK\AVKService.exe
O23 - Service: AVK Wächter (AVKWCtl) - Unknown owner - C:\Programme\AntiVirenKit InternetSecurity\AVK\AVKWCtl.exe
O23 - Service: AntiVir Update (AVWUpSrv) - Unknown owner - C:\Programme\AVPersonal\AVWUPSRV.EXE (file missing)
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Macromedia Shared\Service\Macromedia Licensing.exe
O23 - Service: PDEngine - Raxco Software, Inc. - C:\Programme\Raxco\PerfectDisk\PDEngine.exe
O23 - Service: PDScheduler (PDSched) - Raxco Software, Inc. - C:\Programme\Raxco\PerfectDisk\PDSched.exe
O23 - Service: Steganos Live Encryption Engine 11 [Service] (SLEE_11_SERVICE) - Unknown owner - C:\WINDOWS\system32\SLEE11.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2006\WinStylerThemeSvc.exe



Das tut mir leid, sorry !
Hier das Hijack Log, aber welche Textdateien sind noch gemeint ?
Bitte um Erklärung da ich nicht so viel darüber weiß.
Vielen Dank
Seitenanfang Seitenende
18.07.2006, 13:05
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#5 Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als listen.bat mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden. --> die listen.bat doppelt klicken--> kopiere den Text, der erscheint

Zitat

cd\
dir "C:\Programme\Gemeinsame Dateien\{A4B62D10-0A64-1031-0826-040208050031}" >>files.txt
dir "C:\Programme\TClock" >>files.txt
dir "C:\Programme\Titlebar Time" >>files.txt
dir "C:\Programme\ipwins" >>files.txt
dir "C:\WINDOWS\system32\components" >>files.txt
dir "C:\WINDOWS\Downloaded Program Files" >>files.txt
dir "C:\Programme\Common Files" >>files.txt
dir "C:\Dokumente und Einstellungen\%UserName%\Eigene Dateien" >>files.txt
dir "C:\Dokumente und Einstellungen\%UserName%\Lokale Einstellungen\Temp" >>files.txt
dir "C:\WINDOWS\Temp" >>files.txt
dir "C:\Temp" >>files.txt
dir "C:\Programme" >>files.txt
dir "C:\Dokumente und Einstellungen\%UserName%\Anwendungsdaten" >>files.txt
dir "C:\Programme\Gemeinsame Dateien" >>files.txt
notepad files.txt

__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
19.07.2006, 12:43
Member

Themenstarter

Beiträge: 11
#6 Beim Versuch die listen.bat Dateien in die Antwort zu kopieren bekomme ich die Meldung "Der Text ist zu lang".
Muss ich nun alle die rot eingefärbten Dateien von hand löschen oder wie verfahre ich weiter ?
Seitenanfang Seitenende
19.07.2006, 13:02
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#7 unten findest du Anhang, erstelle also eine txt-Datei und poste sie per Anhang
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
19.07.2006, 13:10
Member

Themenstarter

Beiträge: 11
#8 OK, ist im Anhang, nochmal die Frage: Muss ich die rot eingefärbten Dateien von hand löschen ?

Vielen Dank

Seitenanfang Seitenende
19.07.2006, 13:45
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#9 1.
wende CleanUp an http://virus-protect.org/cleanup.html

2.
wende vundofix an
http://virus-protect.org/artikel/tools/vundofixx.html

3.
Avenger
http://virus-protect.org/artikel/tools/avenger.html
kopiere rein

Zitat

Files to delete:

C:\WINDOWS\system32\dfhkj.ini
C:\WINDOWS\system32\ixt0.dll
C:\WINDOWS\system32\ismon.exe
C:\WINDOWS\system32\ot.ico
C:\WINDOWS\system32\ts.ico
C:\WINDOWS\system32\dfhkj.bak2
C:\WINDOWS\system32\stdole3.tlb
C:\WINDOWS\system32\isnotify.exe
C:\WINDOWS\system32\issearch.exe
C:\WINDOWS\system32\ishost.exe
C:\WINDOWS\system32\mdehxnvu.dll
C:\WINDOWS\system32\simpole.tlb
C:\WINDOWS\system32\mcrh.tmp
C:\WINDOWS\system32\dfhkj.bak1
C:\WINDOWS\system32\jkhfd.dll
C:\WINDOWS\system32\atmclk.exe
C:\WINDOWS\system32\dexplore.dll
C:\WINDOWS\system32\efcdefd.dll
C:\WINDOWS\system32\regperf.exe
C:\WINDOWS\system32\winodn32.dll
C:\WINDOWS\system32\pmnqguh.dll
C:\WINDOWS\System32\zlara.dll
C:\WINDOWS\system32\components\flx5.dll
C:\Programme\Cowabanga\Cowabanga.exe
C:\Programme\Cowabanga\License.txt
C:\Programme\ipwins\count.dat
C:\Programme\ipwins\data.dat
C:\Programme\ipwins\date.dat
C:\Programme\ipwins\settings.dat
C:\Programme\ipwins\settingsDate.dat
C:\Programme\ipwins\Uninst.exe
C:\Programme\ipwins\ipwins.exe
C:\Programme\ipwins\s154.1.dat
C:\Programme\ipwins\s20c.1.dat
C:\Programme\ipwins\s3rc.1.dat
C:\Programme\ipwins\s3pg.dat
C:\Programme\ipwins\sk0.dat
C:\Programme\TClock\tcdll.tclock
C:\Programme\TClock\tclock.exe
C:\Programme\TClock\tclock.ini
C:\Programme\TClock\tclock_install.exe
C:\Programme\Gemeinsame Dateien\{E043B8CF-0708-1031-0827-040403110031}\services.dll
C:\Programme\Gemeinsame Dateien\{E043B8CF-0708-1031-0827-040403110031}\Update.exe
C:\Dokumente und Einstellungen\Stefan\Lokale Einstellungen\Temp\!update.exe
C:\Dokumente und Einstellungen\Stefan\Lokale Einstellungen\Temp\b121.exe
C:\Dokumente und Einstellungen\Stefan\Lokale Einstellungen\Temp\b122.exe
C:\Dokumente und Einstellungen\Stefan\Lokale Einstellungen\Temp\mst602.bat
C:\Dokumente und Einstellungen\Stefan\Lokale Einstellungen\Temp\mst602.tmp
C:\Dokumente und Einstellungen\Stefan\Lokale Einstellungen\Temp\win609.tmp
C:\Dokumente und Einstellungen\Stefan\Lokale Einstellungen\Temp\win60F.tmp
C:\Dokumente und Einstellungen\Stefan\Lokale Einstellungen\Temp\win610.tmp
C:\Dokumente und Einstellungen\Stefan\Lokale Einstellungen\Temp\win61D.tmp
C:\Dokumente und Einstellungen\Stefan\Lokale Einstellungen\Temp\win627.tmp
C:\Dokumente und Einstellungen\Stefan\Lokale Einstellungen\Temp\win62B.tmp.exe
C:\Dokumente und Einstellungen\Stefan\Lokale Einstellungen\Temp\win62C.tmp
C:\Dokumente und Einstellungen\Stefan\Lokale Einstellungen\Temp\win62F.tmp.exe
C:\Dokumente und Einstellungen\Stefan\Lokale Einstellungen\Temp\win636.tmp
C:\Dokumente und Einstellungen\Stefan\Lokale Einstellungen\Temp\win63A.tmp
C:\Dokumente und Einstellungen\Stefan\Lokale Einstellungen\Temp\win63F.tmp
C:\Dokumente und Einstellungen\Stefan\Lokale Einstellungen\Temp\win642.tmp
C:\Dokumente und Einstellungen\Stefan\Lokale Einstellungen\Temp\win643.tmp
C:\WINDOWS\Temp\sa6CB.exe
C:\WINDOWS\Temp\SQLanguage.ini
Klicke die gruene Ampel
das Script wird nun ausgeführt, dann wird der PC automatisch neustarten

**
4.
poste das log vom avenger, was erscheint

**
5.
wende smitfraud.fix an (Option 1 und 2 - lasse auch die registry mitreinigen) - poste die scanreporte
http://virus-protect.org/artikel/tools/smitfrautfix.html

**
6.
öffne das HijackThis -- Button "scan" -- vor die Malware-Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten

Zitat

R3 - Default URLSearchHook is missing
O3 - Toolbar: (no name) - {CBCC61FA-0221-4ccc-B409-CEE865CACA3A} - (no file)
O4 - HKLM\..\Run: [IpWins] C:\Programme\ipwins\ipwins.exe
O4 - HKCU\..\Run: [Titlebar Time] C:\Programme\Titlebar Time\Titlebar Time.exe
O4 - HKCU\..\Run: [Aoeb] "C:\WINDOWS\system32\SMBOLS~1\svchost.exe" -vt yazr
O4 - HKCU\..\Run: [Blkntk] C:\WINDOWS\RACLE~1\svchost.exe
O4 - HKCU\..\Run: [TClock.exe] C:\Programme\TClock\tclock_install.exe

O20 - AppInit_DLLs: C:\WINDOWS\system32\dexplore.dll
O21 - SSODL: furnariidae - {89e4aaba-3b21-49b3-b922-8ca35193c68e} - (no file)
O21 - SSODL: cinnamomum - {93ac7c30-3878-4eaa-9420-7977285df5b1} - C:\WINDOWS\system32\pmnqguh.dll
7.
manuell loeschen:

C:\Dokumente und Einstellungen\Stefan\Lokale Einstellungen\Temp\tmp00000e04
C:\Dokumente und Einstellungen\Stefan\Lokale Einstellungen\Temp\tmp00001cef
C:\Dokumente und Einstellungen\Stefan\Lokale Einstellungen\Temp\tmp00002854
C:\Dokumente und Einstellungen\Stefan\Lokale Einstellungen\Temp\tmp000050bf
C:\Dokumente und Einstellungen\Stefan\Lokale Einstellungen\Temp\tmp000078d3
C:\Dokumente und Einstellungen\Stefan\Lokale Einstellungen\Temp\Sret

C:\WINDOWS\Temp\

alle win... loeschen !
(oder Cleanup korrekt anwenden, wie ich schon geschrieben hatte)

13.07.2006 10:32 0 win10.tmp
11.07.2006 23:57 0 win100.tmp
15.07.2006 04:52 0 win1000.tmp
15.07.2006 04:54 0 win1001.tmp
15.07.2006 04:54 0 win1002.tmp
15.07.2006 04:54 0 win1003.tmp
15.07.2006 04:56 0 win1004.tmp
15.07.2006 04:56 0 win1005.tmp
15.07.2006 04:56 0 win1006.tmp
15.07.2006 04:58 0 win1007.tmp
15.07.2006 04:58 0 win1008.tmp
15.07.2006 04:58 0 win1009.tmp
15.07.2006 04:58 0 win100A.tmp
15.07.2006 05:00 0 win100B.tmp

loeschen:

C:\Programme\Cowabanga
C:\Programme\ipwins
C:\Programme\TClock

C:\Programme\Gemeinsame Dateien\{A4B62D10-0A64-1031-0826-040208050031}

C:\WINDOWS\system32\components

-------------------------------------------------------------------------
**
10.
scanne mit ewido und poste den scanreport
http://virus-protect.org/ewido.html

Hinweis: die Reinigung wird nicht komplett sein, weil du es nicht gebacken bekommen hast, das 3.Log von datfindbat zu posten (C:\Windows)
und ich hoffe, dass der ewido auch den Purityscan findet/loescht,.....

C:\WINDOWS\system32\SMBOLS....
C:\WINDOWS\RACLE....
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
20.07.2006, 13:30
Member

Themenstarter

Beiträge: 11
#10 3. Bei dem Versuch die Files im Avenger zu deleten kommt ständig die Error Meldung "Selected file does not appear to be a valid script", oder "Fatal Error: could not create new script file" ???
Warum kann ich die angegebenen files nicht im Avenger deleten ?

Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\cisacsfu

*******************

Script file located at: \??\C:\WINDOWS\kpntholw.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:



File C:\WINDOWS\system32\lollol.sys not found!
Deletion of file C:\WINDOWS\system32\lollol.sys failed!

Could not process line:
C:\WINDOWS\system32\lollol.sys
Status: 0xc0000034



File C:\WINDOWS\system32\wsock32.sys not found!
Deletion of file C:\WINDOWS\system32\wsock32.sys failed!

Could not process line:
C:\WINDOWS\system32\wsock32.sys
Status: 0xc0000034



File C:\WINDOWS\system32\ckl009.dat not found!
Deletion of file C:\WINDOWS\system32\ckl009.dat failed!

Could not process line:
C:\WINDOWS\system32\ckl009.dat
Status: 0xc0000034



File C:\WINDOWS\system32\scvhost.exe not found!
Deletion of file C:\WINDOWS\system32\scvhost.exe failed!

Could not process line:
C:\WINDOWS\system32\scvhost.exe
Status: 0xc0000034



File C:\WINDOWS\system32\15894N6EHO.ini not found!
Deletion of file C:\WINDOWS\system32\15894N6EHO.ini failed!

Could not process line:
C:\WINDOWS\system32\15894N6EHO.ini
Status: 0xc0000034


Completed script processing.

*******************

Finished! Terminate.
Dieser Beitrag wurde am 20.07.2006 um 14:25 Uhr von Step editiert.
Seitenanfang Seitenende
21.07.2006, 01:34
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#11 ich weiss nicht, was du in den Avenger kopiert hast, aber bestimmt nicht, was ich angewiesen hatte.
loesche alles mit der killbox (einzeln reinkopieren) , aber zuerst wende vundofix an.
http://virus-protect.org/killbox.html

Zitat

C:\WINDOWS\system32\dfhkj.ini
C:\WINDOWS\system32\ixt0.dll
C:\WINDOWS\system32\ismon.exe
C:\WINDOWS\system32\ot.ico
C:\WINDOWS\system32\ts.ico
C:\WINDOWS\system32\dfhkj.bak2
C:\WINDOWS\system32\stdole3.tlb
C:\WINDOWS\system32\isnotify.exe
C:\WINDOWS\system32\issearch.exe
C:\WINDOWS\system32\ishost.exe
C:\WINDOWS\system32\mdehxnvu.dll
C:\WINDOWS\system32\simpole.tlb
C:\WINDOWS\system32\mcrh.tmp
C:\WINDOWS\system32\dfhkj.bak1
C:\WINDOWS\system32\jkhfd.dll
C:\WINDOWS\system32\atmclk.exe
C:\WINDOWS\system32\dexplore.dll
C:\WINDOWS\system32\efcdefd.dll
C:\WINDOWS\system32\regperf.exe
C:\WINDOWS\system32\winodn32.dll
C:\WINDOWS\system32\pmnqguh.dll
C:\WINDOWS\System32\zlara.dll
C:\WINDOWS\system32\components\flx5.dll
C:\Programme\Cowabanga\Cowabanga.exe
C:\Programme\Cowabanga\License.txt
C:\Programme\ipwins\count.dat
C:\Programme\ipwins\data.dat
C:\Programme\ipwins\date.dat
C:\Programme\ipwins\settings.dat
C:\Programme\ipwins\settingsDate.dat
C:\Programme\ipwins\Uninst.exe
C:\Programme\ipwins\ipwins.exe
C:\Programme\ipwins\s154.1.dat
C:\Programme\ipwins\s20c.1.dat
C:\Programme\ipwins\s3rc.1.dat
C:\Programme\ipwins\s3pg.dat
C:\Programme\ipwins\sk0.dat
C:\Programme\TClock\tcdll.tclock
C:\Programme\TClock\tclock.exe
C:\Programme\TClock\tclock.ini
C:\Programme\TClock\tclock_install.exe
C:\Programme\Gemeinsame Dateien\{E043B8CF-0708-1031-0827-040403110031}\services.dll
C:\Programme\Gemeinsame Dateien\{E043B8CF-0708-1031-0827-040403110031}\Update.exe
C:\Dokumente und Einstellungen\Stefan\Lokale Einstellungen\Temp\!update.exe
C:\Dokumente und Einstellungen\Stefan\Lokale Einstellungen\Temp\b121.exe
C:\Dokumente und Einstellungen\Stefan\Lokale Einstellungen\Temp\b122.exe
C:\Dokumente und Einstellungen\Stefan\Lokale Einstellungen\Temp\mst602.bat
C:\Dokumente und Einstellungen\Stefan\Lokale Einstellungen\Temp\mst602.tmp
C:\Dokumente und Einstellungen\Stefan\Lokale Einstellungen\Temp\win609.tmp
C:\Dokumente und Einstellungen\Stefan\Lokale Einstellungen\Temp\win60F.tmp
C:\Dokumente und Einstellungen\Stefan\Lokale Einstellungen\Temp\win610.tmp
C:\Dokumente und Einstellungen\Stefan\Lokale Einstellungen\Temp\win61D.tmp
C:\Dokumente und Einstellungen\Stefan\Lokale Einstellungen\Temp\win627.tmp
C:\Dokumente und Einstellungen\Stefan\Lokale Einstellungen\Temp\win62B.tmp.exe
C:\Dokumente und Einstellungen\Stefan\Lokale Einstellungen\Temp\win62C.tmp
C:\Dokumente und Einstellungen\Stefan\Lokale Einstellungen\Temp\win62F.tmp.exe
C:\Dokumente und Einstellungen\Stefan\Lokale Einstellungen\Temp\win636.tmp
C:\Dokumente und Einstellungen\Stefan\Lokale Einstellungen\Temp\win63A.tmp
C:\Dokumente und Einstellungen\Stefan\Lokale Einstellungen\Temp\win63F.tmp
C:\Dokumente und Einstellungen\Stefan\Lokale Einstellungen\Temp\win642.tmp
C:\Dokumente und Einstellungen\Stefan\Lokale Einstellungen\Temp\win643.tmp
C:\WINDOWS\Temp\sa6CB.exe
C:\WINDOWS\Temp\SQLanguage.ini
und arbeite alles weitere ab.
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
21.07.2006, 13:52
Member

Themenstarter

Beiträge: 11
#12 alles abgearbeitet, die Einträge in der Taskleiste sind verschwunden, super !
Hier der ewido-Bericht:

ewido anti-spyware - Scan-Bericht
---------------------------------------------------------

+ Erstellt um: 13:47:47 21.07.2006

+ Scan-Ergebnis:



HKLM\SOFTWARE\Classes\CLSID\{DC9377A2-2E8D-44A1-99DB-F8A821DF254D} -> Hijacker.Generic : Mit Backup gesäubert (unter Quarantäne gestellt).
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{DC9377A2-2E8D-44A1-99DB-F8A821DF254D} -> Hijacker.Generic : Mit Backup gesäubert (unter Quarantäne gestellt).
HKU\S-1-5-21-484763869-1292428093-839522115-1003\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{DC9377A2-2E8D-44A1-99DB-F8A821DF254D} -> Hijacker.Generic : Mit Backup gesäubert (unter Quarantäne gestellt).
:mozilla.6:C:\Dokumente und Einstellungen\Stefan\Anwendungsdaten\Mozilla\Firefox\Profiles\qtk3id5z.default\cookies.txt.old -> TrackingCookie.2o7 : Gesäubert.
:mozilla.7:C:\Dokumente und Einstellungen\Stefan\Anwendungsdaten\Mozilla\Firefox\Profiles\qtk3id5z.default\cookies.txt.old -> TrackingCookie.2o7 : Gesäubert.
:mozilla.8:C:\Dokumente und Einstellungen\Stefan\Anwendungsdaten\Mozilla\Firefox\Profiles\qtk3id5z.default\cookies.txt.old -> TrackingCookie.2o7 : Gesäubert.
C:\Dokumente und Einstellungen\Stefan\Cookies\stefan@msnportal.112.2o7[1].txt -> TrackingCookie.2o7 : Gesäubert.
:mozilla.48:C:\Dokumente und Einstellungen\Stefan\Anwendungsdaten\Mozilla\Firefox\Profiles\qtk3id5z.default\cookies.txt.old -> TrackingCookie.71i : Gesäubert.
:mozilla.16:C:\Dokumente und Einstellungen\Stefan\Anwendungsdaten\Mozilla\Firefox\Profiles\qtk3id5z.default\cookies.txt.old -> TrackingCookie.Com : Gesäubert.
C:\Dokumente und Einstellungen\Stefan\Cookies\stefan@doubleclick[1].txt -> TrackingCookie.Doubleclick : Gesäubert.
:mozilla.20:C:\Dokumente und Einstellungen\Stefan\Anwendungsdaten\Mozilla\Firefox\Profiles\qtk3id5z.default\cookies.txt.old -> TrackingCookie.Esomniture : Gesäubert.
:mozilla.21:C:\Dokumente und Einstellungen\Stefan\Anwendungsdaten\Mozilla\Firefox\Profiles\qtk3id5z.default\cookies.txt.old -> TrackingCookie.Esomniture : Gesäubert.
:mozilla.22:C:\Dokumente und Einstellungen\Stefan\Anwendungsdaten\Mozilla\Firefox\Profiles\qtk3id5z.default\cookies.txt.old -> TrackingCookie.Esomniture : Gesäubert.
:mozilla.23:C:\Dokumente und Einstellungen\Stefan\Anwendungsdaten\Mozilla\Firefox\Profiles\qtk3id5z.default\cookies.txt.old -> TrackingCookie.Esomniture : Gesäubert.
:mozilla.11:C:\Dokumente und Einstellungen\Stefan\Anwendungsdaten\Mozilla\Firefox\Profiles\qtk3id5z.default\cookies.txt.old -> TrackingCookie.Falkag : Gesäubert.
:mozilla.12:C:\Dokumente und Einstellungen\Stefan\Anwendungsdaten\Mozilla\Firefox\Profiles\qtk3id5z.default\cookies.txt.old -> TrackingCookie.Falkag : Gesäubert.
:mozilla.13:C:\Dokumente und Einstellungen\Stefan\Anwendungsdaten\Mozilla\Firefox\Profiles\qtk3id5z.default\cookies.txt.old -> TrackingCookie.Falkag : Gesäubert.
:mozilla.14:C:\Dokumente und Einstellungen\Stefan\Anwendungsdaten\Mozilla\Firefox\Profiles\qtk3id5z.default\cookies.txt.old -> TrackingCookie.Falkag : Gesäubert.
:mozilla.51:C:\Dokumente und Einstellungen\Stefan\Anwendungsdaten\Mozilla\Firefox\Profiles\qtk3id5z.default\cookies.txt.old -> TrackingCookie.Falkag : Gesäubert.
C:\Dokumente und Einstellungen\Stefan\Cookies\stefan@as-eu.falkag[2].txt -> TrackingCookie.Falkag : Gesäubert.
:mozilla.38:C:\Dokumente und Einstellungen\Stefan\Anwendungsdaten\Mozilla\Firefox\Profiles\qtk3id5z.default\cookies.txt.old -> TrackingCookie.Ivwbox : Gesäubert.
C:\Dokumente und Einstellungen\Stefan\Cookies\stefan@ivwbox[2].txt -> TrackingCookie.Ivwbox : Gesäubert.
C:\Dokumente und Einstellungen\Stefan\Cookies\stefan@stats1.reliablestats[1].txt -> TrackingCookie.Reliablestats : Gesäubert.
C:\Dokumente und Einstellungen\Stefan\Lokale Einstellungen\Temp\Cookies\stefan@stats1.reliablestats[2].txt -> TrackingCookie.Reliablestats : Gesäubert.
C:\Dokumente und Einstellungen\Stefan\Cookies\stefan@revenue[1].txt -> TrackingCookie.Revenue : Gesäubert.
C:\Dokumente und Einstellungen\Stefan\Cookies\stefan@vegasred[2].txt -> TrackingCookie.Vegasred : Gesäubert.
C:\Dokumente und Einstellungen\Stefan\Cookies\stefan@www.vegasred[1].txt -> TrackingCookie.Vegasred : Gesäubert.
:mozilla.44:C:\Dokumente und Einstellungen\Stefan\Anwendungsdaten\Mozilla\Firefox\Profiles\qtk3id5z.default\cookies.txt.old -> TrackingCookie.Yieldmanager : Gesäubert.
C:\Dokumente und Einstellungen\Stefan\Cookies\stefan@ad.yieldmanager[2].txt -> TrackingCookie.Yieldmanager : Gesäubert.
C:\Programme\Gemeinsame Dateien\{A4B62D10-0A64-1031-0826-040208050031}\Update.exe -> Trojan.Starter.65 : Mit Backup gesäubert (unter Quarantäne gestellt).
[1864] C:\Programme\Gemeinsame Dateien\{A4B62D10-0A64-1031-0826-040208050031}\Update.exe -> Trojan.Starter.65 : Fehler während der Säuberung.


::Berichtende

Bei dem Trojaner Starter.65 tritt die Meldung "Fehler währen der Qurantäne " auf ?! Wie bekomme ich diesen Übeltäter noch los ???

Auf jeden fall schon mal vielen Dank für die Super Hilfe !
Seitenanfang Seitenende
21.07.2006, 15:31
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#13 Pocket KillBox
http://virus-protect.org/killbox.html

Options: "Delete on Reboot" und "Single File"--> anhaken
und klicke auf das rote Kreuz, wenn gefragt wird, ob "Do you want to reboot? "---- klicke auf "no",und kopiere das nächste rein, erst beim letzten auf "yes"
reinkopieren: ....

Zitat

C:\Programme\Gemeinsame Dateien\{E043B8CF-0708-1031-0827-040403110031}\services.dll
C:\Programme\Gemeinsame Dateien\{A4B62D10-0A64-1031-0826-040208050031}\Update.exe
dann sanne noch mal mit ewido und berichte
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
22.07.2006, 17:41
Member

Themenstarter

Beiträge: 11
#14 ewido anti-spyware - Scan-Bericht
---------------------------------------------------------

+ Erstellt um: 17:40:39 22.07.2006

+ Scan-Ergebnis:



HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{DC9377A2-2E8D-44A1-99DB-F8A821DF254D} -> Hijacker.Generic : Keine Aktion durchgeführt.
HKU\S-1-5-21-484763869-1292428093-839522115-1003\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{DC9377A2-2E8D-44A1-99DB-F8A821DF254D} -> Hijacker.Generic : Keine Aktion durchgeführt.
C:\Dokumente und Einstellungen\Stefan\Cookies\stefan@2o7[1].txt -> TrackingCookie.2o7 : Keine Aktion durchgeführt.
C:\Dokumente und Einstellungen\Stefan\Cookies\stefan@atdmt[2].txt -> TrackingCookie.Atdmt : Keine Aktion durchgeführt.
C:\Dokumente und Einstellungen\Stefan\Cookies\stefan@as-eu.falkag[2].txt -> TrackingCookie.Falkag : Keine Aktion durchgeführt.
[1916] C:\WINDOWS\system32\SMBOLS~1\svchost.exe -> Trojan.PurityAd : Keine Aktion durchgeführt.


::Berichtende
Seitenanfang Seitenende
22.07.2006, 17:42
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#15 **
scanne noch mal mit ewido, aber lasse auch alles loeschen, vor allem den Purityscan (Trojan.PurityAd)
Keine Aktion durchgeführt <--das darf so nicht sein........

**
hast du schon mit smitfraud.fix gescannt ???? Ich weiss es nicht, weil du die scanreporte nicht gepostet hast..........
http://virus-protect.org/artikel/tools/smitfrautfix.html

**
poste das neue Log vom HijackThis
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: