Spyware Quake - gleiche Heilmethode??

Thema ist geschlossen!
Thema ist geschlossen!
#0
17.07.2006, 19:45
...neu hier

Beiträge: 2
#1 Habe das häufige Problem des "Virus Alert", welcher mit dem Programm SpywareQuake gekoppelt scheint.
Also, mein Hijack LOG:

Logfile of HijackThis v1.99.1
Scan saved at 16:05:18, on 17.07.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\dcomcfg.exe
C:\WINDOWS\system32\atmclk.exe
C:\Programme\Gigabyte\ET5\GUI.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
D:\Programme\ICQLite\ICQLite.exe
D:\Programme\TU2003\MemOptimizer.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Programme\Mozilla FirefoX\firefox.exe
C:\Dokumente und Einstellungen\Administrator\Desktop\Hijack LOG\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.google.de/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: (no name) - {f7d40011-29bb-43eb-9c97-875ce89e9e36} - C:\WINDOWS\system32\hp100.tmp
O4 - HKLM\..\Run: [EasyTuneV] C:\Programme\Gigabyte\ET5\GUI.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [ICQ Lite] "D:\Programme\ICQLite\ICQLite.exe" -minimize
O4 - HKCU\..\Run: [TuneUp MemOptimizer] D:\Programme\TU2003\MemOptimizer.exe autostart
O4 - HKCU\..\RunOnce: [ICQ Lite] D:\Programme\ICQLite\ICQLite.exe -trayboot
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: (no name) - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\ICQLite\ICQLite.exe
O10 - Broken Internet access because of LSP provider 'xfire_lsp_10650.dll' missing
O16 - DPF: {15AD6789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://static.35mb.com/applet/applet_l.cab
O21 - SSODL: cholecyst - {ee2975b6-e8d5-405e-8448-8fe9590f6cfb} - C:\WINDOWS\system32\mzoeut.dll
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: C-DillaCdaC11BA - Macrovision - C:\WINDOWS\system32\drivers\CDAC11BA.EXE
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

soooo und diese DATFINDBAT hab ich auch ma fix gemacht!

Datentr„ger in Laufwerk C: ist C_PLADDE
Volumeseriennummer: D377-F3D1

Verzeichnis von C:\WINDOWS\system32

17.07.2006 19:36 5.000 stdole3.tlb
17.07.2006 19:30 10.752 simpole.tlb
17.07.2006 19:30 26.324 nvapps.xml
17.07.2006 19:30 71.696 ld100.tmp
17.07.2006 19:30 76.800 hp100.tmp
17.07.2006 14:39 2.206 wpa.dbl
17.07.2006 14:38 37.855 LVCOMSX.LOG
17.07.2006 13:49 10.708 atmclk.exe
17.07.2006 13:49 117.760 dcomcfg.exe
17.07.2006 13:38 85.520 regperf.exe
17.07.2006 13:34 1.783 lvcoinst.log
07.07.2006 14:21 57.384 avsda.dll
03.07.2006 01:48 316.594 perfh007.dat
03.07.2006 01:48 39.992 perfc009.dat
03.07.2006 01:48 48.156 perfc007.dat
03.07.2006 01:48 311.604 perfh009.dat
03.07.2006 01:48 723.744 PerfStringBackup.INI
14.06.2006 14:11 1.409 tmp8FF81.FOT
14.06.2006 14:11 1.409 tmp8EF81.FOT
14.06.2006 14:11 1.409 tmpEDE81.FOT
14.06.2006 14:11 1.409 tmp5CD81.FOT
12.04.2006 12:12 7.006 jupdate-1.5.0_06-b05.log
28.03.2006 14:44 1.409 tmp556D3.FOT
28.03.2006 14:44 1.409 tmp636D3.FOT
28.03.2006 14:44 1.409 tmpD05D3.FOT
28.03.2006 14:44 1.409 tmp3F3D3.FOT
28.03.2006 14:11 3.645 qtplugin.log
27.02.2006 17:37 128.984 FNTCACHE.DAT
26.02.2006 01:38 1.409 tmp243C5.FOT

HOFFE MIR KANN JEMAND HELFEN !!

Und

Ich hoffe ich hab mich hier nich allzudumm angestellt ..

danke schonmal euer Christoph!

Edit : hab mich hier schon ein wenig durchgefilzt und ohne eure hilfe versucht erstmal weiterzukommen und promt klappten einige dinge nicht zB: VundofixV5.1.4 (findet keine DAten zum removen)
und die Kill box meint wenn ich want to reboot "jes" klicke folgendes :"Pending File Rename Operations Registry Data has Been Removed by External Process"

plz helft mir
Dieser Beitrag wurde am 18.07.2006 um 08:08 Uhr von evul editiert.
Seitenanfang Seitenende
18.07.2006, 17:54
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#2 evul

0.
spyfalcon.zip -> http://virus-protect.org/zip/spyfalcon.zip -> entpacken auf dem Desktop -> spyfalcon.reg ->doppeltklicken und der Registry mit "ja/yes" beifügen

1.
wende an:
http://virus-protect.org/artikel/tools/smitfrautfix.html

poste die scanreporte von option 1 und 2 (lasse auch die Registry mitreinigen)

2.
fixe mit dem HijackThis:

O2 - BHO: (no name) - {f7d40011-29bb-43eb-9c97-875ce89e9e36} - C:\WINDOWS\system32\hp100.tmp
O21 - SSODL: cholecyst - {ee2975b6-e8d5-405e-8448-8fe9590f6cfb} - C:\WINDOWS\system32\mzoeut.dll

PC neustarten

3.
suche/loesche C:\WINDOWS\system32\mzoeut.dll , falls die dll noch vorhanden ist.
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
18.07.2006, 23:10
...neu hier

Themenstarter

Beiträge: 2
#3 OK ;)

also , was bei deinem ersten Wunderprogramm rauskam:

OPTION 1 :


SmitFraudFix v2.73

Scan done at 22:51:05,82, 18.07.2006
Run from C:\Dokumente und Einstellungen\Administrator\Desktop\SmitfraudFix
OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT
Fix ran in normal mode

»»»»»»»»»»»»»»»»»»»»»»»» C:\


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32

C:\WINDOWS\system32\atmclk.exe FOUND !
C:\WINDOWS\system32\dcomcfg.exe FOUND !
C:\WINDOWS\system32\hp???.tmp FOUND !
C:\WINDOWS\system32\hp????.tmp FOUND !
C:\WINDOWS\system32\ld???.tmp FOUND !
C:\WINDOWS\system32\ld????.tmp FOUND !
C:\WINDOWS\system32\mzoeut.dll FOUND !
C:\WINDOWS\system32\regperf.exe FOUND !
C:\WINDOWS\system32\simpole.tlb FOUND !
C:\WINDOWS\system32\stdole3.tlb FOUND !
C:\WINDOWS\system32\1024\ FOUND !

»»»»»»»»»»»»»»»»»»»»»»»» C:\Dokumente und Einstellungen\Administrator\Application Data


»»»»»»»»»»»»»»»»»»»»»»»» Start Menu


»»»»»»»»»»»»»»»»»»»»»»»»


»»»»»»»»»»»»»»»»»»»»»»»» Desktop


»»»»»»»»»»»»»»»»»»»»»»»» C:\Programme

C:\Programme\SpyQuake2.com\ FOUND !

»»»»»»»»»»»»»»»»»»»»»»»» Corrupted keys


»»»»»»»»»»»»»»»»»»»»»»»» Desktop Components

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Die derzeitige Homepage"


»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]
"{0C81EA61-20F8-4ddc-81BF-AF0923078398}"="Automation Object"


[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]
"cholecyst"="{ee2975b6-e8d5-405e-8448-8fe9590f6cfb}"


»»»»»»»»»»»»»»»»»»»»»»»» Scanning wininet.dll infection


»»»»»»»»»»»»»»»»»»»»»»»» End

_____________________________________________

soooo und Option 2 im ABGESICHERTEN :


SmitFraudFix v2.73

Scan done at 22:55:20,71, 18.07.2006
Run from C:\Dokumente und Einstellungen\Administrator\Desktop\SmitfraudFix
OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT
Fix ran in safe mode

»»»»»»»»»»»»»»»»»»»»»»»» Before SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]
"{0C81EA61-20F8-4ddc-81BF-AF0923078398}"="Automation Object"


[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]
"cholecyst"="{ee2975b6-e8d5-405e-8448-8fe9590f6cfb}"


»»»»»»»»»»»»»»»»»»»»»»»» Killing process


»»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix

GenericRenosFix by S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Deleting infected files

C:\WINDOWS\system32\atmclk.exe Deleted
C:\WINDOWS\system32\dcomcfg.exe Deleted
C:\WINDOWS\system32\hp???.tmp Deleted
C:\WINDOWS\system32\ld???.tmp Deleted
C:\WINDOWS\system32\mzoeut.dll Deleted
C:\WINDOWS\system32\regperf.exe Deleted
C:\WINDOWS\system32\simpole.tlb Deleted
C:\WINDOWS\system32\stdole3.tlb Deleted
C:\WINDOWS\system32\1024\ Deleted
C:\Programme\SpyQuake2.com\ Deleted

»»»»»»»»»»»»»»»»»»»»»»»» Deleting Temp Files


»»»»»»»»»»»»»»»»»»»»»»»» Registry Cleaning

Registry Cleaning done.

»»»»»»»»»»»»»»»»»»»»»»»» After SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]
"{0C81EA61-20F8-4ddc-81BF-AF0923078398}"="Automation Object"



»»»»»»»»»»»»»»»»»»»»»»»» End



bis hierhin hat das alles super geklappt !!!! allses is glaube ich IO, wenn smtfraudfix nich mehr als nurden den Desctop "gelöscht" hat!! diese Virus aler kacke ist auch weg !!


DANKESCHÖN!! ^^

HAB DICH LIEP ;)
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: