Spyqarequake- Welche files kann ich bei hijack this löschen?

#0
19.09.2006, 15:41
...neu hier

Beiträge: 2
#1 Hallo zusammen,

ich bin leider spyware quake geschädigt (kenne mich auch nicht so gut aus) und habe bereits nach anleitung mit clean up und vundofix gescannt. Jetzt habe ich hijack this laufen lassen, weiss aber nicht welche files ich hier löschen soll. Könnt ihr mir bitte helfen?
Vielen herzlichen dank!

Hier das Logfile:
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\system32\cscript.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Norton AntiVirus\navapsvc.exe
C:\Programme\Norton AntiVirus\IWP\NPFMntor.exe
C:\WINDOWS\system32\slserv.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkCalRem.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Telekom\Eumex 504PC SE\Capictrl.exe
C:\Programme\Oleco\_oleco.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\WinRAR\WinRAR.exe
C:\Dokumente und Einstellungen\Steingräber\Eigene Dateien\Verschiedenes\Virenbekämpfung\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.fh-aalen.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://de.yahoo.com/fsc/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://de.yahoo.com/fsc/
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://red.clientapps.yahoo.com/customize/fuji/defaults/su/*http://www.yahoo.com
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - (no file)
O2 - BHO: (no name) - {278B661A-14A8-D8B0-6AF4-03088B866149} - C:\WINDOWS\system32\unaoakg.dll
O2 - BHO: (no name) - {83ABBCE1-3635-4BB5-8475-403A35FBE12A} - C:\WINDOWS\system32\awtqo.dll (file missing)

O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [Verknüpfung mit der High Definition Audio-Eigenschaftenseite] HDAShCut.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [AlcWzrd] ALCWZRD.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [RemoteControl] C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [InstantOn] "C:\Program Files\CyberLink\PowerCinema Linux\ion_install.exe" /c
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [RealTray] C:\Programme\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\system32\PSDrvCheck.exe
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer
O4 - HKLM\..\Run: [Easy-PrintToolBox] C:\Programme\Canon\Easy-PrintToolBox\BJPSMAIN.EXE /logon
O4 - HKLM\..\Run: [Anti-Blaxx Manager] C:\Programme\Anti-Blaxx\Anti-Blaxx.exe
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb05.exe
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programme\D-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [uhvjsul.dll] C:\WINDOWS\system32\rundll32.exe C:\WINDOWS\system32\uhvjsul.dll,mrpmvyf
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - Startup: WkCalRem.LNK = C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkCalRem.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O8 - Extra context menu item: Easy-WebPrint - Drucken - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Print.html
O8 - Extra context menu item: Easy-WebPrint - Schnelldruck - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html
O8 - Extra context menu item: Easy-WebPrint - Vorschau - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html
O8 - Extra context menu item: Easy-WebPrint - Zu Druckliste hinzufügen - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html
O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)
O17 - HKLM\System\CCS\Services\Tcpip\..\{1A979436-B838-4A93-8BF7-B9E52E7BC882}: NameServer = 62.104.191.241 62.104.196.134
O20 - Winlogon Notify: awtqo - C:\WINDOWS\system32\awtqo.dll (file missing)
O20 - Winlogon Notify: winhjo32 - C:\WINDOWS\SYSTEM32\winhjo32.dll
O21 - SSODL: incestuously - {03413bf7-e34c-445b-bfc0-a2b127255871} - C:\WINDOWS\system32\urroxtl.dll (file missing)

O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Norton AntiVirus Auto-Protect-Dienst (navapsvc) - Symantec Corporation - C:\Programme\Norton AntiVirus\navapsvc.exe
O23 - Service: Norton AntiVirus Firewall Monitor Service (NPFMntor) - Symantec Corporation - C:\Programme\Norton AntiVirus\IWP\NPFMntor.exe
O23 - Service: SAVScan - Symantec Corporation - C:\Programme\Norton AntiVirus\SAVScan.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
O23 - Service: Symantec Core LC - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
Seitenanfang Seitenende
20.09.2006, 01:05
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#2 ««
stelle den CleanUp genauso ein, wie hier angegeben:
http://virus-protect.org/cleanup.html

««
Kopiere diese 4 Textdateien ab . (rechtsklick mit der Maus -> den Text markieren -> kopieren -> einfügen) Sie sind nach Datum geordnet. (kopiere nur die letzten 3 Monate ab)
http://virus-protect.org/datfindbat.html

««
echo.zip
entpacken--> klicke echo.bat --> der Texteditor wird sich öffnen--> Text abkopieren
http://virus-protect.org/bat/echo.zip

««
poste dieses log
http://virus-protect.org/artikel/tools/combofix.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
23.09.2006, 12:50
...neu hier

Themenstarter

Beiträge: 2
#3 Hallo Sabina,

hier die letzten drei Monate der vier Text Dateien:
Verzeichnis von C:\WINDOWS\system32

23.09.2006 12:40 1.158 wpa.dbl
19.09.2006 15:02 72.704 unaoakg.dll
19.09.2006 15:02 94.208 uhvjsul.dll
19.09.2006 14:23 79 url.dat
19.09.2006 13:56 4.286 ot.ico
19.09.2006 13:56 4.286 ts.ico
15.09.2006 22:52 91.904 S32EVNT1.DLL
11.09.2006 19:37 8.960.936 MRT.exe
04.09.2006 17:52 632.208 oqtwa.ini
26.08.2006 21:41 630.907 oqtwa.bak2
21.08.2006 14:26 16.896 fltlib.dll
21.08.2006 11:14 23.040 fltmc.exe
19.08.2006 14:04 143 mcrh.tmp
04.08.2006 14:23 282.604 oqtwa.bak1
04.08.2006 14:15 18.944 winhjo32.dll
04.08.2006 13:40 382.026 perfh009.dat
04.08.2006 13:40 393.086 perfh007.dat
04.08.2006 13:40 53.770 perfc009.dat
04.08.2006 13:40 64.848 perfc007.dat
04.08.2006 13:40 902.476 PerfStringBackup.INI
28.07.2006 13:30 3.079.168 mshtml.dll
27.07.2006 15:25 679.424 inetcomm.dll
25.07.2006 22:42 617.472 urlmon.dll
21.07.2006 10:29 72.704 hlink.dll
14.07.2006 17:38 332.288 netapi32.dll
14.07.2006 17:25 546.304 hhctrl.ocx
13.07.2006 16:03 8.498.688 shell32.dll
13.07.2006 13:52 169.984 xpsp3res.dll
05.07.2006 12:55 1.057.792 kernel32.dll
26.06.2006 19:40 8.192 rasadhlp.dll
26.06.2006 19:40 148.480 dnsapi.dll
23.06.2006 13:25 1.497.088 shdocvw.dll
23.06.2006 13:25 670.208 wininet.dll
23.06.2006 13:25 474.624 shlwapi.dll
23.06.2006 13:25 448.512 mshtmled.dll
23.06.2006 13:25 96.768 inseng.dll
23.06.2006 13:25 15.872 jsproxy.dll
23.06.2006 13:25 251.904 iepeers.dll
23.06.2006 13:25 532.480 mstime.dll
23.06.2006 13:25 55.808 extmgr.dll
23.06.2006 13:25 146.432 msrating.dll
23.06.2006 13:25 39.424 pngfilt.dll
23.06.2006 13:25 357.888 dxtmsft.dll
23.06.2006 13:25 205.312 dxtrans.dll
23.06.2006 13:25 1.022.976 browseui.dll
23.06.2006 13:25 152.064 cdfview.dll
23.06.2006 13:25 1.056.256 danim.dll
22.06.2006 12:47 181.248 rasmans.dll
22.06.2006 07:06 1.441.792 query.dll
22.06.2006 07:06 69.120 ciodm.dll
19.06.2006 16:20 702.768 WgaLogon.dll
19.06.2006 16:19 571.184 LegitCheckControl.dll
19.06.2006 16:19 304.944 WgaTray.exe
02.06.2006 11:04 57.384 avsda.dll
01.06.2006 20:47 27.648 jgpl400.dll
01.06.2006 20:47 163.840 jgdw400.dll

Verzeichnis von C:\DOKUME~1\STEING~1\LOKALE~1\Temp

23.09.2006 12:41 85 Olecobn.tmp
23.09.2006 12:41 1.181 Olecocf.tmp
23.09.2006 12:41 155.843 Olecopo.tmp
3 Datei(en) 157.109 Bytes
0 Verzeichnis(se), 24.413.257.728 Bytes frei

Verzeichnis von C:\WINDOWS

23.09.2006 12:40 0 0.log
23.09.2006 12:40 5.176 ModemLog_Smart Link 56K Voice Modem.txt
23.09.2006 12:40 1.685.568 WindowsUpdate.log
23.09.2006 12:39 2.048 bootstat.dat
23.09.2006 12:38 32.612 SchedLgU.Txt
23.09.2006 11:52 548 oleco.ini
22.09.2006 09:59 12.343 WgaNotify.log
22.09.2006 09:57 28.519 setupapi.log
22.09.2006 09:52 106.120 iis6.log
22.09.2006 09:52 36.111 ocmsn.log
22.09.2006 09:52 1.374 imsins.log
22.09.2006 09:52 22.485 KB920685.log
22.09.2006 09:52 136.668 ntdtcsetup.log
22.09.2006 09:52 258.496 tsoc.log
22.09.2006 09:52 228.069 comsetup.log
22.09.2006 09:52 320.865 ocgen.log
22.09.2006 09:52 33.052 msgsocm.log
22.09.2006 09:52 679.318 FaxSetup.log
22.09.2006 09:52 1.374 imsins.BAK
22.09.2006 09:52 53.926 KB921398.log
22.09.2006 09:52 38.870 updspapi.log
22.09.2006 09:52 110.718 KB918899.log
22.09.2006 09:52 21.798 KB920872.log
22.09.2006 09:51 19.005 KB919007.log
22.09.2006 09:51 10.684 KB922582.log
22.09.2006 09:51 1.024.040 setupapi.log.0.old
19.09.2006 17:33 116 NeroDigital.ini
19.09.2006 16:05 487 Capictrl.INI
18.09.2006 16:36 47 wiaservc.log
18.09.2006 16:36 281 wiadebug.log
29.08.2006 18:38 15.440 KB920214.log
29.08.2006 18:38 15.528 KB922616.log
29.08.2006 17:42 14.964 KB921883.log
29.08.2006 17:41 14.874 KB920670.log
29.08.2006 17:41 15.036 KB917422.log
29.08.2006 17:41 15.347 KB920683.log
19.08.2006 14:02 50.267 DirectX.log
19.08.2006 13:55 63 WININIT.INI
30.07.2006 16:00 19.179 KB911280.log
30.07.2006 16:00 14.403 KB917159.log
30.07.2006 16:00 14.914 KB914388.log
30.07.2006 16:00 13.053 KB916595.log
25.06.2006 14:22 0 ROUTE
25.06.2006 13:55 3.643 spupdsvc.log
25.06.2006 13:54 15.617 KB917734.log
25.06.2006 13:54 46.914 wmsetup.log
25.06.2006 13:53 19.859 KB918439.log
25.06.2006 13:53 20.402 KB917344.log
25.06.2006 13:53 27.094 KB917953.log
25.06.2006 13:53 46.655 KB916281.log
25.06.2006 13:52 19.188 KB914389.log
25.06.2006 13:26 0 stduser.ini
05.06.2006 16:11 2.552 dvddata.txt

23.09.2006 12:48 0 sys.txt
23.09.2006 12:47 11.816 system.txt
23.09.2006 12:47 386 systemtemp.txt
23.09.2006 12:43 101.241 system32.txt
23.09.2006 12:39 1.073.139.712 hiberfil.sys
23.09.2006 12:39 1.610.612.736 pagefile.sys
19.09.2006 15:07 210 VundoFix.txt
19.09.2006 14:44 7.040 ComboFix.txt
19.08.2006 14:52 17.767 editor.log
05.06.2006 18:24 578 video2dvdpro.log

Hier das Echo Text File:

10)DPF????
Datentr„ger in Laufwerk C: ist 427235
Volumeseriennummer: 4C33-A2E5

Verzeichnis von C:\WINDOWS\Downloaded Program Files

27.08.2005 14:30 5.065 swflash.inf
1 Datei(en) 5.065 Bytes

Anzahl der angezeigten Dateien:
1 Datei(en) 5.065 Bytes
0 Verzeichnis(se), 24.413.224.960 Bytes frei
10)DPF????
Datentr„ger in Laufwerk C: ist 427235
Volumeseriennummer: 4C33-A2E5

Verzeichnis von C:\WINDOWS\Downloaded Program Files

27.08.2005 14:30 5.065 swflash.inf
1 Datei(en) 5.065 Bytes

Anzahl der angezeigten Dateien:
1 Datei(en) 5.065 Bytes
0 Verzeichnis(se), 24.412.311.552 Bytes frei

Und noch das Combofix Logfile:

((((((((((((((((((((((((((((((( Files Created from 2006-08-23 to 2006-09-23 ))))))))))))))))))))))))))))))))))


2006-09-19 15:02 94,208 --a------ C:\WINDOWS\system32\uhvjsul.dll
2006-09-19 15:02 72,704 --a------ C:\WINDOWS\system32\unaoakg.dll


(((((((((((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))))


2006-09-23 12:42 -------- d-------- C:\Programme\Oleco
2006-09-23 12:41 -------- d-------- C:\Programme\Gemeinsame Dateien
2006-09-22 12:09 -------- d-------- C:\Programme\EA GAMES
2006-09-22 09:52 -------- d-------- C:\Programme\Internet Explorer
2006-09-19 15:37 -------- d-------- C:\Programme\Symantec
2006-09-19 15:37 -------- d-------- C:\Programme\Gemeinsame Dateien\Symantec Shared
2006-09-19 14:25 -------- d-------- C:\Programme\CleanUp!
2006-09-18 18:40 -------- d-------- C:\Programme\GameSpy Arcade
2006-09-18 18:34 -------- d--h----- C:\Programme\InstallShield Installation Information
2006-09-18 18:34 -------- d-------- C:\Programme\Atari
2006-09-18 16:04 -------- d-------- C:\Programme\SpyQuake2.com
2006-09-15 22:52 91904 --a------ C:\WINDOWS\system32\S32EVNT1.DLL
2006-09-15 22:52 124016 --a------ C:\WINDOWS\system32\drivers\SYMEVENT.SYS
2006-08-26 21:41 630907 ---hs---- C:\WINDOWS\system32\oqtwa.bak2
2006-08-21 17:56 -------- d-------- C:\Programme\AntiVir PersonalEdition Classic
2006-08-21 14:26 16896 --a------ C:\WINDOWS\system32\fltlib.dll
2006-08-21 11:14 23040 --a------ C:\WINDOWS\system32\fltmc.exe
2006-08-21 11:14 128896 --a------ C:\WINDOWS\system32\drivers\fltmgr.sys
2006-08-20 16:42 -------- d-------- C:\Programme\PANZERS - Phase2
2006-08-05 12:41 -------- d-------- C:\Programme\Microsoft Games
2006-08-04 15:52 356 --a------ C:\Dokumente und Einstellungen\Steingr„ber\Anwendungsdaten\wklnhst.dat
2006-08-04 14:23 282604 ---hs---- C:\WINDOWS\system32\oqtwa.bak1
2006-08-04 14:15 18944 --------- C:\WINDOWS\system32\winhjo32.dll
2006-07-27 15:25 679424 --a------ C:\WINDOWS\system32\inetcomm.dll
2006-07-21 10:29 72704 --a------ C:\WINDOWS\system32\hlink.dll


(((((((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))

*Note* empty entries are not shown

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\\WINDOWS\\system32\\ctfmon.exe"
"MSMSGS"="\"C:\\Programme\\Messenger\\msmsgs.exe\" /background"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Verknüpfung mit der High Definition Audio-Eigenschaftenseite"="HDAShCut.exe"
"ATIPTA"="C:\\Programme\\ATI Technologies\\ATI Control Panel\\atiptaxx.exe"
"SoundMan"="SOUNDMAN.EXE"
"AlcWzrd"="ALCWZRD.EXE"
"Alcmtr"="ALCMTR.EXE"
"SynTPLpr"="C:\\Programme\\Synaptics\\SynTP\\SynTPLpr.exe"
"SynTPEnh"="C:\\Programme\\Synaptics\\SynTP\\SynTPEnh.exe"
"QuickTime Task"="\"C:\\Programme\\QuickTime\\qttask.exe\" -atboottime"
"NeroFilterCheck"="C:\\WINDOWS\\system32\\NeroCheck.exe"
"RemoteControl"="C:\\Programme\\CyberLink\\PowerDVD\\PDVDServ.exe"
"InstantOn"="\"C:\\Program Files\\CyberLink\\PowerCinema Linux\\ion_install.exe\" /c"
"ccApp"="\"C:\\Programme\\Gemeinsame Dateien\\Symantec Shared\\ccApp.exe\""
"RealTray"="C:\\Programme\\Real\\RealPlayer\\RealPlay.exe SYSTEMBOOTHIDEPLAYER"
"PinnacleDriverCheck"="C:\\WINDOWS\\system32\\PSDrvCheck.exe"
"Symantec NetDriver Monitor"="C:\\PROGRA~1\\SYMNET~1\\SNDMon.exe /Consumer"
"Easy-PrintToolBox"="C:\\Programme\\Canon\\Easy-PrintToolBox\\BJPSMAIN.EXE /logon"
"Anti-Blaxx Manager"="C:\\Programme\\Anti-Blaxx\\Anti-Blaxx.exe"
"HPDJ Taskbar Utility"="C:\\WINDOWS\\system32\\spool\\drivers\\w32x86\\3\\hpztsb05.exe"
"DAEMON Tools-1033"="\"C:\\Programme\\D-Tools\\daemon.exe\" -lang 1033"
"avgnt"="\"C:\\Programme\\AntiVir PersonalEdition Classic\\avgnt.exe\" /min"
"uhvjsul.dll"="C:\\WINDOWS\\system32\\rundll32.exe C:\\WINDOWS\\system32\\uhvjsul.dll,mrpmvyf"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents\IMAIL]
"Installed"="1"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents\MAPI]
"NoChange"="1"
"Installed"="1"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents\MSFS]
"Installed"="1"

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Desktop\Components]
"DeskHtmlVersion"=dword:00000110
"DeskHtmlMinorVersion"=dword:00000005
"Settings"=dword:00000001
"GeneralFlags"=dword:00000001

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Desktop\Components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Die derzeitige Homepage"
"Flags"=dword:00000002
"Position"=hex:2c,00,00,00,00,01,00,00,00,00,00,00,00,04,00,00,02,03,00,00,00,\
00,00,00,01,00,00,00,01,00,00,00,01,00,00,00,00,00,00,00,00,00,00,00
"CurrentState"=hex:04,00,00,40
"OriginalStateInfo"=hex:18,00,00,00,ff,ff,00,00,ff,ff,00,00,ff,ff,ff,ff,ff,ff,\
ff,ff,04,00,00,00
"RestoredStateInfo"=hex:18,00,00,00,6a,02,00,00,23,00,00,00,a4,00,00,00,9a,00,\
00,00,01,00,00,00

[HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\\WINDOWS\\system32\\CTFMON.EXE"

[HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\\WINDOWS\\system32\\CTFMON.EXE"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\shellexecutehooks]
"{AEB6717E-7E19-11d0-97EE-00C04FD91972}"=""

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000000

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer\Run]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system]
"dontdisplaylastusername"=dword:00000000
"legalnoticecaption"=""
"legalnoticetext"=""
"shutdownwithoutlogon"=dword:00000001
"undockwithoutlogon"=dword:00000001

[HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091

[HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
"PostBootReminder"="{7849596a-48ea-486e-8937-a2a3009f31a9}"
"CDBurn"="{fbeb8a05-beee-4442-804e-409d6c4515e9}"
"WebCheck"="{E6FB5E20-DE35-11CF-9C87-00AA005127ED}"
"SysTray"="{35CEC8A3-2BE6-11D2-8773-92E220524153}"
"incestuously"="{03413bf7-e34c-445b-bfc0-a2b127255871}"

HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\awtqo
HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\winhjo32

HKEY_LOCAL_MACHINE\system\currentcontrolset\control\securityproviders
securityproviders REG_SZ msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll


Contents of the 'Scheduled Tasks' folder
C:\WINDOWS\tasks\Norton AntiVirus - Meinen Computer prfen - Steingr„ber.job
C:\WINDOWS\tasks\Symantec NetDetect.job

Completion time: 23.09.2006 12:56:33.45
ComboFix.txt
ComboFix2.txt
ComboFix3.txt

Was soll ich jetzt noch machen?
Danke schön auf jeden Fall!!
Dieser Beitrag wurde am 23.09.2006 um 12:57 Uhr von Bienchen84 editiert.
Seitenanfang Seitenende
23.09.2006, 21:05
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#4 Gehe in die Registry
Start - Ausfuehren - regedit
bearbeiten - suchen - urroxtl.dll

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
"incestuously"="{03413bf7-e34c-445b-bfc0-a2b127255871}" -> loeschen

**
Avenger
http://virus-protect.org/artikel/tools/avenger.html
kopiere rein:

Zitat

registry keys to delete:
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{278B661A-14A8-D8B0-6AF4-03088B866149}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{83ABBCE1-3635-4BB5-8475-403A35FBE12A}
HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\awtqo
HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\winhjo32

Files to delete:
C:\WINDOWS\system32\unaoakg.dll
C:\WINDOWS\system32\uhvjsul.dll
C:\WINDOWS\system32\url.dat
C:\WINDOWS\system32\ot.ico
C:\WINDOWS\system32\ts.ico
C:\WINDOWS\system32\oqtwa.ini
C:\WINDOWS\system32\oqtwa.bak2
C:\WINDOWS\system32\mcrh.tmp
C:\WINDOWS\system32\oqtwa.bak1
C:\WINDOWS\system32\winhjo32.dll

Folders to delete:
C:\Programme\SpyQuake2.com

Klicke die gruene Ampel
das Script wird nun ausgeführt, dann wird der PC automatisch neustarten

**
poste das log vom avenger, was erscheint

**
scanne mit smitfraudfix (option 1 und 2 )
http://virus-protect.org/artikel/tools/smitfrautfix.html
poste beide scanreporte

------------------------

öffne das HijackThis -- Button "scan" -- vor die Malware-Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten

Zitat

O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - (no file)
O2 - BHO: (no name) - {278B661A-14A8-D8B0-6AF4-03088B866149} - C:\WINDOWS\system32\unaoakg.dll
O2 - BHO: (no name) - {83ABBCE1-3635-4BB5-8475-403A35FBE12A} - C:\WINDOWS\system32\awtqo.dll (file missing)

O4 - HKLM\..\Run: [uhvjsul.dll] C:\WINDOWS\system32\rundll32.exe C:\WINDOWS\system32\uhvjsul.dll,mrpmvyf

O20 - Winlogon Notify: awtqo - C:\WINDOWS\system32\awtqo.dll (file missing)
O20 - Winlogon Notify: winhjo32 - C:\WINDOWS\SYSTEM32\winhjo32.dll
O21 - SSODL: incestuously - {03413bf7-e34c-445b-bfc0-a2b127255871} - C:\WINDOWS\system32\urroxtl.dll (file missing)

__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren:
  • »
  • »
  • »
  • »
  • »