Spyware Quake - gleiche Heilmethode??Thema ist geschlossen! |
||
---|---|---|
Thema ist geschlossen! |
||
#0
| ||
17.07.2006, 19:45
...neu hier
Beiträge: 2 |
||
|
||
18.07.2006, 17:54
Ehrenmitglied
Beiträge: 29434 |
#2
evul
0. spyfalcon.zip -> http://virus-protect.org/zip/spyfalcon.zip -> entpacken auf dem Desktop -> spyfalcon.reg ->doppeltklicken und der Registry mit "ja/yes" beifügen 1. wende an: http://virus-protect.org/artikel/tools/smitfrautfix.html poste die scanreporte von option 1 und 2 (lasse auch die Registry mitreinigen) 2. fixe mit dem HijackThis: O2 - BHO: (no name) - {f7d40011-29bb-43eb-9c97-875ce89e9e36} - C:\WINDOWS\system32\hp100.tmp O21 - SSODL: cholecyst - {ee2975b6-e8d5-405e-8448-8fe9590f6cfb} - C:\WINDOWS\system32\mzoeut.dll PC neustarten 3. suche/loesche C:\WINDOWS\system32\mzoeut.dll , falls die dll noch vorhanden ist. __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
18.07.2006, 23:10
...neu hier
Themenstarter Beiträge: 2 |
#3
OK
also , was bei deinem ersten Wunderprogramm rauskam: OPTION 1 : SmitFraudFix v2.73 Scan done at 22:51:05,82, 18.07.2006 Run from C:\Dokumente und Einstellungen\Administrator\Desktop\SmitfraudFix OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT Fix ran in normal mode »»»»»»»»»»»»»»»»»»»»»»»» C:\ »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32 C:\WINDOWS\system32\atmclk.exe FOUND ! C:\WINDOWS\system32\dcomcfg.exe FOUND ! C:\WINDOWS\system32\hp???.tmp FOUND ! C:\WINDOWS\system32\hp????.tmp FOUND ! C:\WINDOWS\system32\ld???.tmp FOUND ! C:\WINDOWS\system32\ld????.tmp FOUND ! C:\WINDOWS\system32\mzoeut.dll FOUND ! C:\WINDOWS\system32\regperf.exe FOUND ! C:\WINDOWS\system32\simpole.tlb FOUND ! C:\WINDOWS\system32\stdole3.tlb FOUND ! C:\WINDOWS\system32\1024\ FOUND ! »»»»»»»»»»»»»»»»»»»»»»»» C:\Dokumente und Einstellungen\Administrator\Application Data »»»»»»»»»»»»»»»»»»»»»»»» Start Menu »»»»»»»»»»»»»»»»»»»»»»»» »»»»»»»»»»»»»»»»»»»»»»»» Desktop »»»»»»»»»»»»»»»»»»»»»»»» C:\Programme C:\Programme\SpyQuake2.com\ FOUND ! »»»»»»»»»»»»»»»»»»»»»»»» Corrupted keys »»»»»»»»»»»»»»»»»»»»»»»» Desktop Components [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0] "Source"="About:Home" "SubscribedURL"="About:Home" "FriendlyName"="Die derzeitige Homepage" »»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler !!!Attention, following keys are not inevitably infected!!! SrchSTS.exe by S!Ri Search SharedTaskScheduler's .dll [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler] "{0C81EA61-20F8-4ddc-81BF-AF0923078398}"="Automation Object" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler] "cholecyst"="{ee2975b6-e8d5-405e-8448-8fe9590f6cfb}" »»»»»»»»»»»»»»»»»»»»»»»» Scanning wininet.dll infection »»»»»»»»»»»»»»»»»»»»»»»» End _____________________________________________ soooo und Option 2 im ABGESICHERTEN : SmitFraudFix v2.73 Scan done at 22:55:20,71, 18.07.2006 Run from C:\Dokumente und Einstellungen\Administrator\Desktop\SmitfraudFix OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT Fix ran in safe mode »»»»»»»»»»»»»»»»»»»»»»»» Before SmitFraudFix !!!Attention, following keys are not inevitably infected!!! SrchSTS.exe by S!Ri Search SharedTaskScheduler's .dll [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler] "{0C81EA61-20F8-4ddc-81BF-AF0923078398}"="Automation Object" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler] "cholecyst"="{ee2975b6-e8d5-405e-8448-8fe9590f6cfb}" »»»»»»»»»»»»»»»»»»»»»»»» Killing process »»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix GenericRenosFix by S!Ri »»»»»»»»»»»»»»»»»»»»»»»» Deleting infected files C:\WINDOWS\system32\atmclk.exe Deleted C:\WINDOWS\system32\dcomcfg.exe Deleted C:\WINDOWS\system32\hp???.tmp Deleted C:\WINDOWS\system32\ld???.tmp Deleted C:\WINDOWS\system32\mzoeut.dll Deleted C:\WINDOWS\system32\regperf.exe Deleted C:\WINDOWS\system32\simpole.tlb Deleted C:\WINDOWS\system32\stdole3.tlb Deleted C:\WINDOWS\system32\1024\ Deleted C:\Programme\SpyQuake2.com\ Deleted »»»»»»»»»»»»»»»»»»»»»»»» Deleting Temp Files »»»»»»»»»»»»»»»»»»»»»»»» Registry Cleaning Registry Cleaning done. »»»»»»»»»»»»»»»»»»»»»»»» After SmitFraudFix !!!Attention, following keys are not inevitably infected!!! SrchSTS.exe by S!Ri Search SharedTaskScheduler's .dll [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler] "{0C81EA61-20F8-4ddc-81BF-AF0923078398}"="Automation Object" »»»»»»»»»»»»»»»»»»»»»»»» End bis hierhin hat das alles super geklappt !!!! allses is glaube ich IO, wenn smtfraudfix nich mehr als nurden den Desctop "gelöscht" hat!! diese Virus aler kacke ist auch weg !! DANKESCHÖN!! ^^ HAB DICH LIEP |
|
|
Also, mein Hijack LOG:
Logfile of HijackThis v1.99.1
Scan saved at 16:05:18, on 17.07.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\dcomcfg.exe
C:\WINDOWS\system32\atmclk.exe
C:\Programme\Gigabyte\ET5\GUI.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
D:\Programme\ICQLite\ICQLite.exe
D:\Programme\TU2003\MemOptimizer.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Programme\Mozilla FirefoX\firefox.exe
C:\Dokumente und Einstellungen\Administrator\Desktop\Hijack LOG\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.google.de/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: (no name) - {f7d40011-29bb-43eb-9c97-875ce89e9e36} - C:\WINDOWS\system32\hp100.tmp
O4 - HKLM\..\Run: [EasyTuneV] C:\Programme\Gigabyte\ET5\GUI.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [ICQ Lite] "D:\Programme\ICQLite\ICQLite.exe" -minimize
O4 - HKCU\..\Run: [TuneUp MemOptimizer] D:\Programme\TU2003\MemOptimizer.exe autostart
O4 - HKCU\..\RunOnce: [ICQ Lite] D:\Programme\ICQLite\ICQLite.exe -trayboot
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: (no name) - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\ICQLite\ICQLite.exe
O10 - Broken Internet access because of LSP provider 'xfire_lsp_10650.dll' missing
O16 - DPF: {15AD6789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://static.35mb.com/applet/applet_l.cab
O21 - SSODL: cholecyst - {ee2975b6-e8d5-405e-8448-8fe9590f6cfb} - C:\WINDOWS\system32\mzoeut.dll
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: C-DillaCdaC11BA - Macrovision - C:\WINDOWS\system32\drivers\CDAC11BA.EXE
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
soooo und diese DATFINDBAT hab ich auch ma fix gemacht!
Datentr„ger in Laufwerk C: ist C_PLADDE
Volumeseriennummer: D377-F3D1
Verzeichnis von C:\WINDOWS\system32
17.07.2006 19:36 5.000 stdole3.tlb
17.07.2006 19:30 10.752 simpole.tlb
17.07.2006 19:30 26.324 nvapps.xml
17.07.2006 19:30 71.696 ld100.tmp
17.07.2006 19:30 76.800 hp100.tmp
17.07.2006 14:39 2.206 wpa.dbl
17.07.2006 14:38 37.855 LVCOMSX.LOG
17.07.2006 13:49 10.708 atmclk.exe
17.07.2006 13:49 117.760 dcomcfg.exe
17.07.2006 13:38 85.520 regperf.exe
17.07.2006 13:34 1.783 lvcoinst.log
07.07.2006 14:21 57.384 avsda.dll
03.07.2006 01:48 316.594 perfh007.dat
03.07.2006 01:48 39.992 perfc009.dat
03.07.2006 01:48 48.156 perfc007.dat
03.07.2006 01:48 311.604 perfh009.dat
03.07.2006 01:48 723.744 PerfStringBackup.INI
14.06.2006 14:11 1.409 tmp8FF81.FOT
14.06.2006 14:11 1.409 tmp8EF81.FOT
14.06.2006 14:11 1.409 tmpEDE81.FOT
14.06.2006 14:11 1.409 tmp5CD81.FOT
12.04.2006 12:12 7.006 jupdate-1.5.0_06-b05.log
28.03.2006 14:44 1.409 tmp556D3.FOT
28.03.2006 14:44 1.409 tmp636D3.FOT
28.03.2006 14:44 1.409 tmpD05D3.FOT
28.03.2006 14:44 1.409 tmp3F3D3.FOT
28.03.2006 14:11 3.645 qtplugin.log
27.02.2006 17:37 128.984 FNTCACHE.DAT
26.02.2006 01:38 1.409 tmp243C5.FOT
HOFFE MIR KANN JEMAND HELFEN !!
Und
Ich hoffe ich hab mich hier nich allzudumm angestellt ..
danke schonmal euer Christoph!
Edit : hab mich hier schon ein wenig durchgefilzt und ohne eure hilfe versucht erstmal weiterzukommen und promt klappten einige dinge nicht zB: VundofixV5.1.4 (findet keine DAten zum removen)
und die Kill box meint wenn ich want to reboot "jes" klicke folgendes :"Pending File Rename Operations Registry Data has Been Removed by External Process"
plz helft mir