Spyware Quake entfernen.

Thema ist geschlossen!
Thema ist geschlossen!
#0
18.07.2006, 12:26
...neu hier

Beiträge: 6
#1 Hallo,

ich bin ebenfalls betroffen von der Meldung "Your computer is infected...".
Ansonsten läuft alles wie gewohnt, bloss alle 30sek diese Meldung.

Ich habe jetzt in der Hoffnung, dass es euch nicht schon zu den Ohren heraushängt, ebenfalls die logfiles gesammelt und hoffe auf eine Beschreibung für einen "Trojanischen Anfänger".

Danke schonmal im voraus für die Hilfe


Logfile of HijackThis v1.99.1
Scan saved at 11:49:17, on 18.07.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Intel\Wireless\Bin\EvtEng.exe
C:\Programme\Intel\Wireless\Bin\S24EvMon.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\hkcmd.exe
C:\Programme\Apoint\Apoint.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\QuickTime\qttask.exe
C:\PROGRA~1\Nokia\NOKIAP~1\LAUNCH~1.EXE
C:\Programme\Intel\Wireless\bin\ZCfgSvc.exe
C:\Programme\Intel\Wireless\Bin\ifrmewrk.exe
C:\Programme\Intel\Wireless\Bin\EOUWiz.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Gemeinsame Dateien\Ahead\lib\NMBgMonitor.exe
C:\Programme\Nokia\Nokia PC Suite 6\PcSync2.exe
C:\Programme\Apoint\Apntex.exe
C:\Programme\M-Audio Audiophile USB\Dmn\ma003dmn.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\PROGRA~1\GEMEIN~1\Nokia\MPAPI\MPAPI3s.exe
C:\Programme\Intel\Wireless\Bin\RegSrvc.exe
C:\Programme\Gemeinsame Dateien\PCSuite\Services\ServiceLayer.exe
C:\WINDOWS\system32\wscntfy.exe
C:\PROGRA~1\Intel\Wireless\Bin\Dot1XCfg.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\DOKUME~1\Lars\LOKALE~1\Temp\Rar$EX00.344\HijackThis.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot\SDHelper.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O2 - BHO: (no name) - {f7d40011-29bb-43eb-9c97-875ce89e9e36} - C:\WINDOWS\system32\hp100.tmp
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\System32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe
O4 - HKLM\..\Run: [Apoint] C:\Programme\Apoint\Apoint.exe
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [PCSuiteTrayApplication] C:\PROGRA~1\Nokia\NOKIAP~1\LAUNCH~1.EXE -startup
O4 - HKLM\..\Run: [IntelZeroConfig] "C:\Programme\Intel\Wireless\bin\ZCfgSvc.exe"
O4 - HKLM\..\Run: [IntelWireless] "C:\Programme\Intel\Wireless\Bin\ifrmewrk.exe" /tf Intel PROSet/Wireless
O4 - HKLM\..\Run: [EOUApp] "C:\Programme\Intel\Wireless\Bin\EOUWiz.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Ahead\lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [PcSync] C:\Programme\Nokia\Nokia PC Suite 6\PcSync2.exe /NoDialog
O4 - Global Startup: MA003DMN.LNK = C:\Programme\M-Audio Audiophile USB\Dmn\ma003dmn.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O18 - Protocol: haufereader - {39198710-62F7-42CD-9458-069843FA5D32} - C:\Programme\Haufe\HaufeReader\HRInstmon.dll
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll
O21 - SSODL: cholecyst - {ee2975b6-e8d5-405e-8448-8fe9590f6cfb} - C:\WINDOWS\system32\mzoeut.dll
O23 - Service: Adobe LM Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Intel(R) PROSet/Wireless Event Log (EvtEng) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\EvtEng.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Intel(R) PROSet/Wireless Registry Service (RegSrvc) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\RegSrvc.exe
O23 - Service: Intel(R) PROSet/Wireless Service (S24EventMonitor) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\S24EvMon.exe
O23 - Service: ServiceLayer - Nokia. - C:\Programme\Gemeinsame Dateien\PCSuite\Services\ServiceLayer.exe







Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 5C1F-F45A

Verzeichnis von C:\WINDOWS\system32

17.07.2006 18:57 10.752 simpole.tlb
17.07.2006 18:57 76.800 hp100.tmp
17.07.2006 18:57 117.760 dcomcfg.exe
17.07.2006 18:57 4.286 ot.ico
17.07.2006 18:50 71.696 ld100.tmp
17.07.2006 18:50 85.520 regperf.exe

16.07.2006 16:16 2.206 wpa.dbl
12.07.2006 18:36 53.248 hklspl.dll
12.07.2006 18:36 245.760 Publicis Interactive.scr
12.07.2006 18:35 1.128.238 Faszination_Licht_1.scr
12.07.2006 14:23 28.672 ssconfig.exe
12.07.2006 14:17 1.489.070 time waits for no one.wav
12.07.2006 14:17 2.890.060 Wild Growth Enchantment.edm
12.07.2006 14:17 540 readme.txt
17.06.2006 12:02 57.384 avsda.dll
31.05.2006 13:04 380.684 perfh009.dat
31.05.2006 13:04 391.574 perfh007.dat
31.05.2006 13:04 53.098 perfc009.dat
31.05.2006 13:04 63.976 perfc007.dat
31.05.2006 13:04 897.954 PerfStringBackup.INI
09.05.2006 15:40 308 results.txt
27.04.2006 10:33 207.872 DAAPI.dll
27.04.2006 10:03 243.712 ConnAPI.dll
27.04.2006 10:02 60.416 NclTools.dll





Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 5C1F-F45A

Verzeichnis von C:\DOKUME~1\Lars\LOKALE~1\Temp

18.07.2006 11:57 512 ~DFB6FF.tmp
18.07.2006 11:57 512 ~DF8131.tmp
2 Datei(en) 1.024 Bytes
0 Verzeichnis(se), 5.660.606.464 Bytes frei



Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 5C1F-F45A

Verzeichnis von C:\WINDOWS

18.07.2006 11:37 178.162 setupact.log
18.07.2006 10:21 0 0.log
18.07.2006 10:20 2.048 bootstat.dat
17.07.2006 21:07 32.638 SchedLgU.Txt
17.07.2006 21:07 42.870 WindowsUpdate.log
15.07.2006 16:41 50 wiaservc.log
15.07.2006 16:41 411 wiadebug.log
13.07.2006 19:04 1.380.070 setupapi.log
13.07.2006 10:36 155 winamp.ini
13.07.2006 10:34 116 NeroDigital.ini
12.07.2006 14:25 186 WSST_Screen_Saver.ini
12.07.2006 14:25 1.440.054 webshots.bmp
12.07.2006 14:23 180.224 UninstallWSST.exe
12.07.2006 14:20 57.344 remover.dll
11.07.2006 11:14 54.156 QTFont.qfn
24.06.2006 14:36 76.856 logo.bmp
24.06.2006 14:36 800 The Private Life of Silvia Saint settings.ini
24.06.2006 14:36 11.195.533 1280.dat
24.06.2006 14:36 48.640 grwprocs.dll
24.06.2006 14:36 405.504 The Private Life of Silvia Saint.scr
24.06.2006 14:34 804 Private Life Of Silvia Saint settings.ini
24.06.2006 14:34 2.441.789 silvia.dat
24.06.2006 14:34 405.504 Private Life Of Silvia Saint.scr
13.05.2006 10:52 23.552 xobglu32.dll
13.05.2006 10:52 63.488 xobglu16.dll
13.05.2006 10:50 994 QTW.INI
13.05.2006 10:25 53 Bibi_Tina.ini
09.05.2006 15:37 12.420 DPINST.LOG
24.04.2006 13:54 1.409 QTFont.for




Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 5C1F-F45A

Verzeichnis von C:\

18.07.2006 12:00 0 sys.txt
18.07.2006 11:59 8.065 system.txt
18.07.2006 11:58 340 systemtemp.txt
18.07.2006 11:57 106.717 system32.txt
18.07.2006 10:20 1.073.741.824 pagefile.sys
17.07.2006 20:22 546 playout.txt
13.02.2006 19:27 191 mwmlog.txt







habe hier mal noch die listen.bat und find angehängt. für den fall, dass das bei mir genauso funktioniert, wie bei den anderen...
bloss, wie gehts jetzt weiter?




Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 5C1F-F45A

Verzeichnis von C:\WINDOWS\system32

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 5C1F-F45A

Verzeichnis von C:\WINDOWS\Downloaded Program Files

14.10.1997 18:52 697 DirectAnimation Java Classes.osd
20.01.2000 15:25 1.162 Microsoft XML Parser for Java.osd
2 Datei(en) 1.859 Bytes
0 Verzeichnis(se), 5.659.906.048 Bytes frei
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 5C1F-F45A

Verzeichnis von C:\Programme\Common Files

15.10.2005 22:29 <DIR> .
15.10.2005 22:29 <DIR> ..
15.10.2005 22:29 <DIR> Microsoft Shared
0 Datei(en) 0 Bytes
3 Verzeichnis(se), 5.659.901.952 Bytes frei
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 5C1F-F45A

Verzeichnis von C:\Dokumente und Einstellungen\Lars\Lokale Einstellungen\Temp

18.07.2006 12:45 <DIR> .
18.07.2006 12:45 <DIR> ..
18.07.2006 11:57 512 ~DF8131.tmp
18.07.2006 12:01 512 ~DFAE45.tmp
18.07.2006 12:01 512 ~DFAE5D.tmp
18.07.2006 12:01 13.834 ~WRS0001.tmp
4 Datei(en) 15.370 Bytes
2 Verzeichnis(se), 5.659.901.952 Bytes frei
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 5C1F-F45A

Verzeichnis von C:\WINDOWS\Temp

18.07.2006 11:54 <DIR> .
18.07.2006 11:54 <DIR> ..
0 Datei(en) 0 Bytes
2 Verzeichnis(se), 5.659.901.952 Bytes frei
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 5C1F-F45A

Verzeichnis von C:\

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 5C1F-F45A

Verzeichnis von C:\Programme

18.07.2006 11:50 <DIR> .
18.07.2006 11:50 <DIR> ..
18.10.2005 11:12 <DIR> Adobe
06.04.2006 12:58 <DIR> Ahead
08.05.2006 16:13 <DIR> AntiVir PersonalEdition Classic
01.10.2005 20:16 <DIR> Apoint
10.01.2006 09:25 <DIR> arniWORX
13.02.2006 12:11 <DIR> Avid
17.06.2006 14:23 <DIR> BHV
06.04.2006 09:35 <DIR> CDex_150
18.07.2006 11:50 <DIR> CleanUp!
15.10.2005 22:29 <DIR> Common Files
01.10.2005 19:44 <DIR> ComPlus Applications
01.10.2005 20:25 <DIR> CONEXANT
10.01.2006 09:25 <DIR> D-Tools
01.10.2005 21:49 <DIR> Dell
08.05.2006 22:27 <DIR> DIFX
04.10.2005 22:31 <DIR> Digidesign
13.02.2006 12:31 <DIR> DivX
01.10.2005 22:13 <DIR> DVD Shrink
17.04.2006 17:36 <DIR> eBay
16.02.2006 15:49 <DIR> eMule
12.07.2006 20:40 <DIR> filesubmit
23.05.2006 17:55 <DIR> FileZilla
08.05.2006 22:27 <DIR> Gemeinsame Dateien
26.02.2006 13:38 <DIR> Haufe
09.05.2006 15:37 <DIR> Intel
10.01.2006 09:44 <DIR> Internet Explorer
08.05.2006 17:41 <DIR> IrfanView
12.07.2006 20:41 <DIR> Isotope244 Graphics
10.01.2006 10:17 <DIR> Java
26.02.2006 13:37 <DIR> LEXWARE
08.12.2005 23:33 <DIR> M-Audio Audiophile USB
03.01.2006 12:48 <DIR> Macromedia
23.10.2005 21:20 <DIR> messenger
15.10.2005 22:48 <DIR> Microsoft ActiveSync
01.10.2005 19:48 <DIR> microsoft frontpage
09.02.2006 21:50 <DIR> Microsoft Office
23.10.2005 21:19 <DIR> Movie Maker
18.07.2006 12:31 <DIR> Mozilla Firefox
16.02.2006 15:56 <DIR> Mozilla Thunderbird
01.10.2005 19:44 <DIR> MSN Gaming Zone
04.10.2005 22:31 <DIR> Native Instruments
12.07.2006 14:20 <DIR> NavExcel Search Toolbar
06.04.2006 13:07 <DIR> Nero
23.10.2005 21:14 <DIR> NetMeeting
08.05.2006 22:27 <DIR> Nokia
01.10.2005 19:46 <DIR> Online-Dienste
23.10.2005 21:14 <DIR> Outlook Express
02.02.2006 11:48 <DIR> Pinnacle
16.02.2006 16:24 <DIR> Quicken2006
24.04.2006 13:54 <DIR> QuickTime
15.02.2006 14:17 <DIR> RegCleaner
02.02.2006 18:37 <DIR> SafeNet Sentinel
01.10.2005 21:47 <DIR> SigmaTel
17.10.2005 18:47 <DIR> SlySoft
12.07.2006 14:42 <DIR> Spybot
17.07.2006 20:21 <DIR> SpyQuake2.com
02.02.2006 19:46 <DIR> Steinberg
02.02.2006 19:30 <DIR> Syncrosoft
29.12.2005 12:54 <DIR> VOB
29.12.2005 12:53 <DIR> Wavelab
25.10.2005 18:49 <DIR> Winamp
19.03.2006 11:26 <DIR> Windows Media Player
23.10.2005 21:14 <DIR> Windows NT
01.10.2005 22:09 <DIR> WinRAR
01.10.2005 19:48 <DIR> xerox
12.07.2006 18:33 <DIR> Yahoo!
13.05.2006 10:46 <DIR> Zauberhafte Pferdewelt
0 Datei(en) 0 Bytes
69 Verzeichnis(se), 5.659.897.856 Bytes frei
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 5C1F-F45A

Verzeichnis von C:\Dokumente und Einstellungen\Lars\Anwendungsdaten

15.07.2006 15:44 <DIR> Adobe
02.01.2006 15:50 <DIR> AdobeUM
06.04.2006 13:08 <DIR> Ahead
05.05.2006 08:21 <DIR> Apple Computer
10.01.2006 10:22 <DIR> DataDesign
31.05.2006 13:08 <DIR> DataLayer
01.04.2006 08:53 <DIR> FreeDoko
13.02.2006 16:38 19.144 GDIPFONTCACHEV1.DAT
28.03.2006 21:30 <DIR> Help
28.12.2005 09:56 <DIR> Identities
09.05.2006 15:40 <DIR> Intel
03.01.2006 12:49 <DIR> Macromedia
29.12.2005 11:51 <DIR> Mozilla
10.02.2006 14:50 <DIR> Nokia
09.05.2006 13:53 <DIR> PC Suite
02.02.2006 19:33 <DIR> Steinberg
10.01.2006 10:17 <DIR> Sun
1 Datei(en) 19.144 Bytes
16 Verzeichnis(se), 5.659.897.856 Bytes frei
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 5C1F-F45A

Verzeichnis von C:\Programme\Gemeinsame Dateien

08.05.2006 22:27 <DIR> .
08.05.2006 22:27 <DIR> ..
18.10.2005 11:16 <DIR> Adobe
18.10.2005 11:17 <DIR> Adobe Systems Shared
06.04.2006 13:07 <DIR> Ahead
09.02.2006 21:51 <DIR> Designer
01.10.2005 19:45 <DIR> Dienste
04.11.2005 10:38 <DIR> Digidesign
13.10.2005 10:10 <DIR> InstallShield
10.01.2006 10:17 <DIR> Java
26.02.2006 13:37 <DIR> Lexware
03.01.2006 12:36 <DIR> Macromedia
23.04.2006 16:22 <DIR> Microsoft Shared
01.10.2005 19:45 <DIR> MSSoap
08.05.2006 22:27 <DIR> Nokia
01.10.2005 20:26 <DIR> ODBC
08.05.2006 22:27 <DIR> PCSuite
02.02.2006 18:37 <DIR> SafeNet Sentinel
29.10.2005 20:21 <DIR> Softwin
01.10.2005 20:26 <DIR> SpeechEngines
09.02.2006 21:50 <DIR> System
0 Datei(en) 0 Bytes
21 Verzeichnis(se), 5.659.897.856 Bytes frei


hier die find.bat

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 5C1F-F45A
Dieser Beitrag wurde am 18.07.2006 um 12:55 Uhr von ed77 editiert.
Seitenanfang Seitenende
18.07.2006, 18:09
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#2 1.
spyfalcon.zip -> http://virus-protect.org/zip/spyfalcon.zip -> entpacken auf dem Desktop -> spyfalcon.reg ->doppeltklicken und der Registry mit "ja/yes" beifügen

2.
wende smitraud.fix an (poste dann die logs von option 1 und 2)...lass auch die registry mitreinigen
http://virus-protect.org/artikel/tools/smitfrautfix.html

3.
falls es noch vorhanden ist:

öffne das HijackThis -- Button "scan" -- vor EintrAg Häkchen setzen -- Button "Fix checked" -- PC neustarten

O21 - SSODL: cholecyst - {ee2975b6-e8d5-405e-8448-8fe9590f6cfb} - C:\WINDOWS\system32\mzoeut.dll

PC neustarten

4.
--> C:\WINDOWS\system32\mzoeut.dll -> loeschen, falls smitfraud fix es nicht schon erledigt hat.

-------------------------------------------------------------------------------------

virustotal
Oben auf der Seite --> auf Durchsuchen klicken --> Datei mit korrektem Pfad einkopieren) --> Doppelklick auf die zu prüfende Datei --> klick auf Submit... jetzt abwarten -> poste den bericht
http://www.virustotal.com/flash/index_en.html

C:\WINDOWS\system32\ssconfig.exe


«
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
19.07.2006, 11:18
...neu hier

Themenstarter

Beiträge: 6
#3 Hallo Sabina,
vielen lieben dank für die hilfe.
bin echt begeistert, wie du das naja überhaupt alles so im blick hast...
danke danke danke.

eine frage noch: du hast (oder war es das scanprogramm selber?) mir einige dateien rot markiert. zb:
Verzeichnis von C:\WINDOWS\system32

17.07.2006 18:57 10.752 simpole.tlb
17.07.2006 18:57 76.800 hp100.tmp
17.07.2006 18:57 117.760 dcomcfg.exe
17.07.2006 18:57 4.286 ot.ico
17.07.2006 18:50 71.696 ld100.tmp
17.07.2006 18:50 85.520 regperf.exe

muss ich damit (manuell) irgendwas machen?

so hier die scanreports:

SmitFraudFix v2.73

Scan done at 10:41:57,11, 19.07.2006
Run from C:\Dokumente und Einstellungen\Lars\Eigene Dateien\Virus-Aktion\SmitfraudFix
OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT
Fix ran in safe mode

»»»»»»»»»»»»»»»»»»»»»»»» C:\


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32

C:\WINDOWS\system32\ot.ico FOUND !
C:\WINDOWS\system32\simpole.tlb FOUND !
C:\WINDOWS\system32\stdole3.tlb FOUND !

»»»»»»»»»»»»»»»»»»»»»»»» C:\Dokumente und Einstellungen\Administrator\Application Data


»»»»»»»»»»»»»»»»»»»»»»»» Start Menu


»»»»»»»»»»»»»»»»»»»»»»»» C:\DOKUME~1\ADMINI~1\FAVORI~1


»»»»»»»»»»»»»»»»»»»»»»»» Desktop


»»»»»»»»»»»»»»»»»»»»»»»» C:\Programme


»»»»»»»»»»»»»»»»»»»»»»»» Corrupted keys


»»»»»»»»»»»»»»»»»»»»»»»» Desktop Components

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Die derzeitige Homepage"


»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]
"cholecyst"="{ee2975b6-e8d5-405e-8448-8fe9590f6cfb}"


»»»»»»»»»»»»»»»»»»»»»»»» Scanning wininet.dll infection


»»»»»»»»»»»»»»»»»»»»»»»» End





------------------------------------





SmitFraudFix v2.73

Scan done at 10:43:27,65, 19.07.2006
Run from C:\Dokumente und Einstellungen\Lars\Eigene Dateien\Virus-Aktion\SmitfraudFix
OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT
Fix ran in safe mode

»»»»»»»»»»»»»»»»»»»»»»»» Before SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]
"cholecyst"="{ee2975b6-e8d5-405e-8448-8fe9590f6cfb}"


»»»»»»»»»»»»»»»»»»»»»»»» Killing process


»»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix

GenericRenosFix by S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Deleting infected files

C:\WINDOWS\system32\ot.ico Deleted
C:\WINDOWS\system32\simpole.tlb Deleted
C:\WINDOWS\system32\stdole3.tlb Deleted

»»»»»»»»»»»»»»»»»»»»»»»» Deleting Temp Files


»»»»»»»»»»»»»»»»»»»»»»»» Registry Cleaning

Registry Cleaning done.

»»»»»»»»»»»»»»»»»»»»»»»» After SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» End



--------------------------



Complete scanning result of "ssconfig.exe", received in VirusTotal at 07.19.2006, 11:03:36 (CET).
Antivirus Version Update Result
AntiVir 6.35.0.21 07.19.2006 no virus found
Authentium 4.93.8 07.18.2006 no virus found
Avast 4.7.844.0 07.18.2006 no virus found
AVG 386 07.18.2006 no virus found
BitDefender 7.2 07.19.2006 no virus found
CAT-QuickHeal 8.00 07.19.2006 no virus found
ClamAV devel-20060426 07.19.2006 no virus found
DrWeb 4.33 07.19.2006 no virus found
eTrust-InoculateIT 23.72.72 07.19.2006 no virus found
eTrust-Vet 12.6.2301 07.19.2006 no virus found
Ewido 4.0 07.19.2006 no virus found
Fortinet 2.77.0.0 07.19.2006 no virus found
F-Prot 3.16f 07.18.2006 no virus found
F-Prot4 4.2.1.29 07.18.2006 no virus found
Ikarus 0.2.65.0 07.19.2006 no virus found
Kaspersky 4.0.2.24 07.19.2006 no virus found
McAfee 4809 07.18.2006 no virus found
Microsoft 1.1508 07.18.2006 no virus found
NOD32v2 1.1667 07.18.2006 no virus found
Norman 5.90.23 07.19.2006 no virus found
Panda 9.0.0.4 07.18.2006 no virus found
Sophos 4.07.0 07.19.2006 no virus found
Symantec 8.0 07.19.2006 no virus found
TheHacker 5.9.8.177 07.18.2006 no virus found
UNA 1.83 07.18.2006 no virus found
VBA32 3.11.0 07.19.2006 no virus found
VirusBuster 4.3.7:9 07.18.2006 no virus found



lieben gruss
ED77
Seitenanfang Seitenende
19.07.2006, 12:02
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#4 ed77

1.
poste noch mal das erste log von datfindbat
+ schaue, ob SpyQuake2.com aus programme verschwunden ist.......

2.
scanne mit panda und poste den scanreport
http://virus-protect.org/onlinescan.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
19.07.2006, 14:37
...neu hier

Themenstarter

Beiträge: 6
#5 spyquake ist aus programme raus.
frage zu datfind: ich habe mir den virus wahrscheinlich auf der suche nach screensaver eingefangen, welche ich eigentlich deinstalliert glaubte. ich habe die mit eindeutigen namen mal fett markiert. macht das sinn, diese einfach so aus dem system32 ordner zu löschen?

hier das datfind:


Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 5C1F-F45A

Verzeichnis von C:\WINDOWS\system32

16.07.2006 16:16 2.206 wpa.dbl
12.07.2006 18:36 53.248 hklspl.dll
12.07.2006 18:36 245.760 Publicis Interactive.scr
12.07.2006 18:35 1.128.238 Faszination_Licht_1.scr

12.07.2006 14:23 28.672 ssconfig.exe
12.07.2006 14:17 1.489.070 time waits for no one.wav
12.07.2006 14:17 2.890.060 Wild Growth Enchantment.edm

12.07.2006 14:17 540 readme.txt
17.06.2006 12:02 57.384 avsda.dll
31.05.2006 13:04 380.684 perfh009.dat
31.05.2006 13:04 391.574 perfh007.dat
31.05.2006 13:04 53.098 perfc009.dat
31.05.2006 13:04 63.976 perfc007.dat
31.05.2006 13:04 897.954 PerfStringBackup.INI
09.05.2006 15:40 308 results.txt



pandascanreport

Incident Status Location

Potentially unwanted tool:Application/Processor Not disinfected C:\Dokumente und Einstellungen\Lars\Eigene Dateien\Virus-Aktion\SmitfraudFix\Process.exe
Potentially unwanted tool:Application/Processor Not disinfected C:\Dokumente und Einstellungen\Lars\Eigene Dateien\Virus-Aktion\SmitfraudFix.zip[SmitfraudFix/Process.exe]
Adware:Adware/NavHelper Not disinfected C:\Programme\NavExcel Search Toolbar\NavExcelBar.dll
Adware:Adware/NavHelper Not disinfected C:\WINDOWS\nxstinst.exe
Adware:Adware/NavHelper Not disinfected C:\WINDOWS\remover.dll
Potentially unwanted tool:Application/Processor Not disinfected C:\WINDOWS\system32\Process.exe
Seitenanfang Seitenende
19.07.2006, 14:42
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#6 desinstalliere:

C:\Programme\NavExcel Search Toolbar

Avenger:
http://virus-protect.org/artikel/tools/avenger.html
kopiere rein:

Zitat

Files to delete:

C:\WINDOWS\nxstinst.exe
C:\WINDOWS\remover.dll
C:\WINDOWS\WSST_Screen_Saver.ini
C:\WINDOWS\webshots.bmp
C:\WINDOWS\UninstallWSST.exe
C:\WINDOWS\system32\hklspl.dll
C:\WINDOWS\system32\Publicis Interactive.scr
C:\WINDOWS\system32\Faszination_Licht_1.scr
C:\WINDOWS\system32\ssconfig.exe
C:\WINDOWS\system32\time waits for no one.wav
C:\WINDOWS\system32\Wild Growth Enchantment.edm
Klicke die gruene Ampel
das Script wird nun ausgeführt, dann wird der PC automatisch neustarten

**
loesche das backup vom avenger

-----------

ich weiss nicht, was es ist, aber das wuerde ich auch rausloeschen:

C:\WINDOWS\

24.06.2006 14:36 76.856 logo.bmp
24.06.2006 14:36 800 The Private Life of Silvia Saint settings.ini
24.06.2006 14:36 11.195.533 1280.dat
24.06.2006 14:36 48.640 grwprocs.dll
24.06.2006 14:36 405.504 The Private Life of Silvia Saint.scr
24.06.2006 14:34 804 Private Life Of Silvia Saint settings.ini
24.06.2006 14:34 2.441.789 silvia.dat
24.06.2006 14:34 405.504 Private Life Of Silvia Saint.scr
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
19.07.2006, 15:30
...neu hier

Themenstarter

Beiträge: 6
#7 habe alles gemacht, bis auf eines:

deinstalliere:

C:\Programme\NavExcel Search Toolbar

das programm, welches ich übrigens nicht kenne und nicht bewusst installiert habe, lässt sich nicht deinstallieren. unter software heisst die option "remove only", was er aber nicht tut. habe dann auch im abges modus mit admin rechten probiert... keine chance.
Seitenanfang Seitenende
19.07.2006, 16:00
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#8 avenger:

Zitat

registry keys to delete:

HKEY_CURRENT_USERS\Software\NavExcel
HKEY_LOCAL_MACHINE\SOFTWARE\NavExcel
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\NavHelper
neustarten, dann muesstest du es desinstallieren koennen
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
19.07.2006, 16:16
...neu hier

Themenstarter

Beiträge: 6
#9 habe ich getan.
bei der softwaredeinstallation ist ein fehler aufgetreten. wollen sie das programm aus software entfernen: JA geklickt.
nu isses weg... ääh. naja... war das jetzt gut?




//////////////////////////////////////////
Avenger Pre-Processor log
//////////////////////////////////////////

Syntax error in line --- does not appear to be a valid registry path. Line will be ignored.
Error code: 0
Line: HKEY_CURRENT_USERS\Software\NavExcel


//////////////////////////////////////////


Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\atxuxoag

*******************

Script file located at: \??\C:\WINDOWS\system32\vdmvwveo.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:



Registry key HKEY_LOCAL_MACHINE\SOFTWARE\NavExcel not found!
Deletion of registry key HKEY_LOCAL_MACHINE\SOFTWARE\NavExcel failed!
Status: 0xc0000034



Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\NavHelper not found!
Deletion of registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\NavHelper failed!
Status: 0xc0000034


Completed script processing.

*******************

Finished! Terminate.
Seitenanfang Seitenende
19.07.2006, 17:23
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#10 es muesste wieder alles o.k. sein ...kommen noch popups ???
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
19.07.2006, 17:42
...neu hier

Themenstarter

Beiträge: 6
#11 da ich generell mit firefox surfe, ist mir dieser navexceltrojaner ja garnie aufgefallen... ausserdem klingt der wie ein nützliches plugin.
jetzt ist aber alles wieder gut.
erschreckend, dass die "schweine" sogar popup-blocker und virenscanner heissen...
meinst du für die zukunft sollte ich von antivir auf was anderes umsteigen?


vielen vielen dank nochmal
Ed : )
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: