Spyware Quake 2.3, kann nicht gelöscht werden, FakeSoftware

Thema ist geschlossen!
Thema ist geschlossen!
#0
29.10.2006, 15:35
Member

Beiträge: 11
#1 Hi, keine Ahnung woher, aber ich habe mir den Virus oder Trojaner eingefangen, hab schonmal hijackthis.log mitgebraucht und bitte nun um weitere Instruktionen.

Logfile of HijackThis v1.99.1
Scan saved at 15:19:49, on 29.10.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\VIA\RAID\raid_tool.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\RunDLL32.exe
C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Java\jre1.5.0_06\bin\jucheck.exe
C:\DOKUME~1\ABDULA~1\ANWEND~1\SKS~1\chkntfs.exe
C:\WINDOWS\system32\ishost.exe
C:\WINDOWS\system32\ismini.exe
C:\WINDOWS\F?nts\?poolsv.exe
C:\Programme\Skype\Phone\Skype.exe
C:\WINDOWS\system32\issearch.exe
C:\WINDOWS\system32\isnotify.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\AntiVir PersonalEdition Classic\avcenter.exe
C:\Programme\SpyQuake2.com\Spy-Quake2.exe
C:\Programme\SpyQuake2.com\Spy-Quake2.exe
C:\Programme\AntiVir PersonalEdition Classic\avscan.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Dokumente und Einstellungen\Abdula Kimbasa\Desktop\Trojaner\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.lofd.de/index.php?sid=51b05830e38b7021ce026e7b7e5dc063
R3 - URLSearchHook: (no name) - {A6311D4A-8D8A-F520-DEA8-D628E12D60B9} - C:\WINDOWS\system32\cmnyblg.dll
R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: (no name) - {A6311D4A-8D8A-F520-DEA8-D628E12D60B9} - C:\WINDOWS\system32\cmnyblg.dll
O2 - BHO: (no name) - {c3703265-4671-4858-92a4-cba6a7b3bb45} - C:\WINDOWS\system32\ixt0.dll
O3 - Toolbar: Safety Bar - {052b12f7-86fa-4921-8482-26c42316b522} - C:\Programme\Safety Bar\SafetyBar.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [RaidTool] C:\Programme\VIA\RAID\raid_tool.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [NvMediaCenter] RunDLL32.exe NvMCTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [SpyQuake2.com] C:\Programme\SpyQuake2.com\Spy-Quake2.exe /h
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Nree] "C:\DOKUME~1\ABDULA~1\ANWEND~1\SKS~1\chkntfs.exe" -vt yazb
O4 - HKCU\..\Run: [Bpsy] C:\WINDOWS\F?nts\?poolsv.exe
O4 - Startup: Adobe Gamma.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {5ED80217-570B-4DA9-BF44-BE107C0EC166} (Windows Live Safety Center Base Module) - http://scan.safety.live.com/resource/download/scanner/wlscbase5059.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1155386343484
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1155386328343
O17 - HKLM\System\CCS\Services\Tcpip\..\{2D2775AA-E9E9-4C08-8875-0727CA2846FF}: NameServer = 192.168.178.1
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O20 - Winlogon Notify: winubh32 - C:\WINDOWS\SYSTEM32\winubh32.dll
O21 - SSODL: incestuously - {03413bf7-e34c-445b-bfc0-a2b127255871} - C:\WINDOWS\system32\urroxtl.dll
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

Thx schonmal für die Hilfe^^
__________
Greetz
Fastpower
Dieser Beitrag wurde am 29.10.2006 um 17:03 Uhr von Fastpower editiert.
Seitenanfang Seitenende
29.10.2006, 20:47
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#2 combofix.exe
http://virus-protect.org/artikel/tools/combofix.html
** schliesse alle Programme und Anwendungen

** Lade combofix

http://download.bleepingcomputer.com/sUBs/combofix.exe
http://www.techsupportforum.com/sectools/combofix.exe

** doppelklick: combofix.exe
** schreibe "Y"
** warte die Datenträgerbereinigung ab

mit der rechten Maustaste den Text markieren -> kopieren -> im Forum, wo du einen Beitrag eröffnet hast -> einfügen
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
29.10.2006, 22:00
Member

Themenstarter

Beiträge: 11
#3 Abdula Kimbasa - 06-10-29 21:53:15,21 Service Pack 2
ComboFix 06.10.19 - Running from: "C:\Dokumente und Einstellungen\Abdula Kimbasa\Desktop\Trojaner"

(((((((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))


C:\WINDOWS\system32\ishost.exe
C:\WINDOWS\system32\ismini.exe
C:\WINDOWS\system32\isnotify.exe
C:\WINDOWS\system32\issearch.exe
C:\WINDOWS\system32\wintsvit.exe
C:\Programme\Gemeinsame Dateien\Yazzle1162OinAdmin.exe
C:\Programme\Gemeinsame Dateien\Yazzle1162OinUninstaller.exe
C:\WINDOWS\system32\ixt0.dll
C:\Programme\Safety Bar
C:\WINDOWS\system32\components
C:\WINDOWS\system32\urroxtl.dll

~ ~ ~ ~ ~ ~ ~ ~ ~ ~ ~ ~ ~ ~ Purity ~ ~ ~ ~ ~ ~ ~ ~~ ~ ~ ~ ~ ~ ~ ~ ~ ~ ~ ~

Folders Quarantined:

C:\QooBox\Purity\Dokumente und Einstellungen\Abdula Kimbasa\Anwendungsdaten\SKS~1
C:\QooBox\Purity\Dokumente und Einstellungen\Abdula Kimbasa\Anwendungsdaten\SKS~1\chkntfs.exe
C:\QooBox\Purity\Dokumente und Einstellungen\Abdula Kimbasa\Anwendungsdaten\SKS~1\??sks
C:\QooBox\Purity\WINDOWS\FNTS~1
C:\QooBox\Purity\WINDOWS\FNTS~1\?poolsv.exe


((((((((((((((((((((((((((((((( Files Created from 2006-09-29 to 2006-10-29 ))))))))))))))))))))))))))))))))))


2006-10-29 14:49 126,976 --a------ C:\WINDOWS\system32\cmnyblg.dll
2006-10-28 10:52 82,432 --a------ C:\WINDOWS\system32\dc210usd.dll
2006-10-28 10:52 7,040 --a------ C:\WINDOWS\system32\drivers\serscan.sys
2006-10-28 10:52 25,600 --a------ C:\WINDOWS\system32\dc210_32.dll
2006-10-24 17:57 18,432 --a------ C:\WINDOWS\system32\winubh32.dll


(((((((((((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))))


2006-10-29 21:53 -------- d-------- C:\Programme\Gemeinsame Dateien
2006-10-29 21:52 -------- d-------- C:\Dokumente und Einstellungen\Abdula Kimbasa\Anwendungsdaten\Skype
2006-10-29 20:03 -------- d-------- C:\Programme\Mozilla Firefox
2006-10-29 14:55 -------- d-------- C:\Programme\SpyQuake2.com
2006-10-29 09:48 -------- d-------- C:\Dokumente und Einstellungen\Abdula Kimbasa\Anwendungsdaten\Sun
2006-10-29 08:42 -------- d-------- C:\Programme\Gemeinsame Dateien\Adobe
2006-10-29 08:42 -------- d-------- C:\Programme\Adobe
2006-10-29 08:42 -------- d-------- C:\Dokumente und Einstellungen\Abdula Kimbasa\Anwendungsdaten\Adobe
2006-10-29 08:14 -------- d---s---- C:\Dokumente und Einstellungen\Abdula Kimbasa\Anwendungsdaten\Microsoft
2006-10-29 07:59 -------- d-------- C:\Programme\Gemeinsame Dateien\Ahead
2006-10-29 06:56 -------- d-------- C:\Dokumente und Einstellungen\Abdula Kimbasa\Anwendungsdaten\uTorrent
2006-10-28 17:36 -------- d-------- C:\Programme\Trillian
2006-10-28 13:39 -------- d-------- C:\Programme\Java
2006-10-28 13:38 -------- d-------- C:\Programme\Gemeinsame Dateien\Java
2006-10-28 13:11 -------- d-------- C:\Dokumente und Einstellungen\Abdula Kimbasa\Anwendungsdaten\teamspeak2
2006-10-21 15:47 3045 --a------ C:\Programme\sysinfo.txt
2006-10-21 15:13 1282 --a------ C:\Programme\commands.txt
2006-10-21 15:13 0 --a------ C:\Programme\_logfile.txt
2006-10-14 12:56 -------- d-------- C:\Programme\Data
2006-10-12 17:49 8914 --a------ C:\Programme\bandtest.txt
2006-10-08 09:42 -------- d-------- C:\Programme\Patches
2006-10-08 09:38 3159 --a------ C:\Programme\Uninst.wsu
2006-10-08 09:38 28400 --a------ C:\WINDOWS\system32\drivers\secdrv.sys
2006-10-08 09:38 128 --a------ C:\Programme\WOLData.key
2006-10-08 09:38 -------- d-------- C:\Programme\HTML
2006-09-27 20:24 -------- d-------- C:\Dokumente und Einstellungen\Abdula Kimbasa\Anwendungsdaten\Ahead
2006-09-23 13:14 -------- d-------- C:\Programme\Skype
2006-09-21 18:30 -------- d-------- C:\Dokumente und Einstellungen\Abdula Kimbasa\Anwendungsdaten\Pegasys Inc
2006-09-21 18:28 -------- d-------- C:\Programme\Pegasys Inc
2006-09-13 06:02 1084416 --a------ C:\WINDOWS\system32\msxml3.dll
2006-09-10 08:11 98304 --a------ C:\WINDOWS\system32\CmdLineExt.dll
2006-09-10 08:11 -------- d-------- C:\Programme\GameSpy Arcade
2006-09-10 08:02 -------- d--h----- C:\Programme\InstallShield Installation Information
2006-09-10 08:02 -------- d-------- C:\Programme\Sierra
2006-09-08 15:38 -------- d-------- C:\Programme\Nero
2006-09-05 16:52 -------- d-------- C:\Programme\PowerStrip
2006-09-02 13:36 -------- d-------- C:\Programme\DVD Decrypter
2006-08-31 18:29 -------- d-------- C:\Programme\GCFScape
2006-08-26 11:33 869 --a------ C:\Dokumente und Einstellungen\Abdula Kimbasa\Anwendungsdaten\AdobeDLM.log
2006-08-26 11:33 0 --a------ C:\Dokumente und Einstellungen\Abdula Kimbasa\Anwendungsdaten\dm.ini
2006-08-25 16:46 617472 --a------ C:\WINDOWS\system32\comctl32.dll
2006-08-21 13:26 16896 --a------ C:\WINDOWS\system32\fltlib.dll
2006-08-21 10:14 23040 --a------ C:\WINDOWS\system32\fltmc.exe
2006-08-16 12:58 100352 --a------ C:\WINDOWS\system32\6to4svc.dll
2006-08-10 08:57 62 --ahs---- C:\Dokumente und Einstellungen\Abdula Kimbasa\Anwendungsdaten\desktop.ini
2006-08-10 08:42 277936872 --a------ C:\WINDOWS\WindowsXP-KB835935-SP2-DEU.exe
2006-08-10 08:24 60416 --a------ C:\WINDOWS\ALCFDRTM.EXE
2006-08-10 08:02 0 -rahs---- C:\MSDOS.SYS
2006-08-10 08:02 0 -rahs---- C:\IO.SYS
2006-08-10 08:02 0 --a------ C:\CONFIG.SYS
2006-08-10 08:02 0 --a------ C:\AUTOEXEC.BAT


(((((((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))

*Note* empty entries are not shown

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run]
"CTFMON.EXE"="C:\\WINDOWS\\system32\\ctfmon.exe"
"Steam"=""
"Nree"="\"C:\\DOKUME~1\\ABDULA~1\\ANWEND~1\\SKS~1\\chkntfs.exe\" -vt yazb"
"Bpsy"="C:\\WINDOWS\\F?nts\\?poolsv.exe"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run]
"SoundMan"="SOUNDMAN.EXE"
"RaidTool"="C:\\Programme\\VIA\\RAID\\raid_tool.exe"
"NvCplDaemon"="RUNDLL32.EXE C:\\WINDOWS\\System32\\NvCpl.dll,NvStartup"
"nwiz"="nwiz.exe /install"
"avgnt"="\"C:\\Programme\\AntiVir PersonalEdition Classic\\avgnt.exe\" /min"
"NvMediaCenter"="RunDLL32.exe NvMCTray.dll,NvTaskbarInit"
"SunJavaUpdateSched"="C:\\Programme\\Java\\jre1.5.0_06\\bin\\jusched.exe"
"SpyQuake2.com"="C:\\Programme\\SpyQuake2.com\\Spy-Quake2.exe /h"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\IMAIL]
"Installed"="1"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MAPI]
"Installed"="1"
"NoChange"="1"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MSFS]
"Installed"="1"

[HKEY_CURRENT_USER\software\microsoft\internet explorer\desktop\components]
"DeskHtmlVersion"=dword:00000110
"DeskHtmlMinorVersion"=dword:00000005
"Settings"=dword:00000001
"GeneralFlags"=dword:00000000

[HKEY_CURRENT_USER\software\microsoft\internet explorer\desktop\components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Die derzeitige Homepage"
"Flags"=dword:00000002
"Position"=hex:2c,00,00,00,cc,00,00,00,00,00,00,00,34,03,00,00,e2,02,00,00,00,\
00,00,00,01,00,00,00,01,00,00,00,01,00,00,00,00,00,00,00,00,00,00,00
"CurrentState"=dword:40000004
"OriginalStateInfo"=hex:18,00,00,00,ff,ff,00,00,ff,ff,00,00,ff,ff,ff,ff,ff,ff,\
ff,ff,04,00,00,00
"RestoredStateInfo"=hex:18,00,00,00,6a,02,00,00,23,00,00,00,a4,00,00,00,9a,00,\
00,00,01,00,00,00

[HKEY_USERS\.default\software\microsoft\windows\currentversion\run]
"CTFMON.EXE"="C:\\WINDOWS\\System32\\CTFMON.EXE"

[HKEY_USERS\s-1-5-18\software\microsoft\windows\currentversion\run]
"CTFMON.EXE"="C:\\WINDOWS\\System32\\CTFMON.EXE"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\sharedtaskscheduler]
"{438755C2-A8BA-11D1-B96B-00A0C90312E1}"="Browseui preloader"
"{8C7461EF-2B13-11d2-BE35-3078302C2030}"="Component Categories cache daemon"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shellexecutehooks]
"{AEB6717E-7E19-11d0-97EE-00C04FD91972}"=""

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer\Run]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"dontdisplaylastusername"=dword:00000000
"legalnoticecaption"=""
"legalnoticetext"=""
"shutdownwithoutlogon"=dword:00000001
"undockwithoutlogon"=dword:00000001

[HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091

[HKEY_USERS\s-1-5-18\software\microsoft\windows\currentversion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\shellserviceobjectdelayload]
"PostBootReminder"="{7849596a-48ea-486e-8937-a2a3009f31a9}"
"CDBurn"="{fbeb8a05-beee-4442-804e-409d6c4515e9}"
"WebCheck"="{E6FB5E20-DE35-11CF-9C87-00AA005127ED}"
"SysTray"="{35CEC8A3-2BE6-11D2-8773-92E220524153}"
"incestuously"="{03413bf7-e34c-445b-bfc0-a2b127255871}"

HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\winubh32

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\securityproviders]
"SecurityProviders"="msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll"

Completion time: 06-10-29 21:55:18.39
C:\ComboFix.txt ... 06-10-29 21:55
__________
Greetz
Fastpower
Seitenanfang Seitenende
29.10.2006, 22:15
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#4 scanne mit smitfraudfix (option 1 und 2 - poste hier beide scanreporte
http://www.virus-protect.org/artikel/tools/smitfrautfix.html
download von http://siri.urz.free.fr/Fix/SmitfraudFix.zip

--------

stelle den CleanUp genauso ein, wie hier angegeben:
http://virus-protect.org/cleanup.html

Kopiere diese 6 Textdateien ab . (rechtsklick mit der Maus -> den Text markieren -> kopieren -> einfügen) Sie sind nach Datum geordnet. (kopiere nur die letzten 3 Monate ab)
http://virus-protect.org/datfindbat.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
30.10.2006, 19:01
Member

Themenstarter

Beiträge: 11
#5 SmitFraudFix v2.117

Scan done at 18:38:49,37, 30.10.2006
Run from C:\Dokumente und Einstellungen\Abdula Kimbasa\Desktop\Trojaner\SmitfraudFix
OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT
Fix run in normal mode

»»»»»»»»»»»»»»»»»»»»»»»» C:\


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32

C:\WINDOWS\system32\ot.ico FOUND !
C:\WINDOWS\system32\ts.ico FOUND !

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32\LogFiles


»»»»»»»»»»»»»»»»»»»»»»»» C:\Dokumente und Einstellungen\Abdula Kimbasa


»»»»»»»»»»»»»»»»»»»»»»»» C:\Dokumente und Einstellungen\Abdula Kimbasa\Application Data


»»»»»»»»»»»»»»»»»»»»»»»» Start Menu


»»»»»»»»»»»»»»»»»»»»»»»»


»»»»»»»»»»»»»»»»»»»»»»»» Desktop


»»»»»»»»»»»»»»»»»»»»»»»» C:\Programme

C:\Programme\SpyQuake2.com\ FOUND !

»»»»»»»»»»»»»»»»»»»»»»»» Corrupted keys


»»»»»»»»»»»»»»»»»»»»»»»» Desktop Components

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Die derzeitige Homepage"


»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
!!!Attention, following keys are not inevitably infected!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"=""


»»»»»»»»»»»»»»»»»»»»»»»» pe386-msguard-lzx32


»»»»»»»»»»»»»»»»»»»»»»»» Scanning wininet.dll infection


»»»»»»»»»»»»»»»»»»»»»»»» End








SmitFraudFix v2.117

Scan done at 18:39:29,56, 30.10.2006
Run from C:\Dokumente und Einstellungen\Abdula Kimbasa\Desktop\Trojaner\SmitfraudFix
OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT
Fix run in normal mode

»»»»»»»»»»»»»»»»»»»»»»»» Before SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

»»»»»»»»»»»»»»»»»»»»»»»» Killing process


»»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix

GenericRenosFix by S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Deleting infected files

C:\WINDOWS\system32\ot.ico Deleted
C:\WINDOWS\system32\ts.ico Deleted
C:\Programme\SpyQuake2.com\ Deleted

»»»»»»»»»»»»»»»»»»»»»»»» Deleting Temp Files


»»»»»»»»»»»»»»»»»»»»»»»» Registry Cleaning

Registry Cleaning done.

»»»»»»»»»»»»»»»»»»»»»»»» After SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» End


Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 706C-D305

Verzeichnis von C:\WINDOWS\system32

30.10.2006 18:35 63.430 nvapps.xml
30.10.2006 18:35 2.422 wpa.dbl
29.10.2006 21:54 193.776 FNTCACHE.DAT
29.10.2006 20:45 53.608 perfc009.dat
29.10.2006 20:45 394.500 perfh007.dat
29.10.2006 20:45 383.254 perfh009.dat
29.10.2006 20:45 64.598 perfc007.dat
29.10.2006 20:45 899.052 PerfStringBackup.INI
29.10.2006 08:04 664 d3d9caps.dat
28.10.2006 13:39 7.006 jupdate-1.5.0_06-b05.log
25.10.2006 14:25 126.976 cmnyblg.dll
24.10.2006 17:57 18.432 winubh32.dll

04.10.2006 21:03 9.639.336 MRT.exe
13.09.2006 06:02 1.084.416 msxml3.dll
10.09.2006 08:11 98.304 CmdLineExt.dll
04.09.2006 07:12 1.494.016 shdocvw.dll
29.08.2006 18:43 135.168 swreg.exe
25.08.2006 16:46 617.472 comctl32.dll
21.08.2006 13:26 16.896 fltlib.dll
21.08.2006 10:14 23.040 fltmc.exe
18.08.2006 18:13 269 spupdwxp.log
16.08.2006 12:58 100.352 6to4svc.dll


Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 706C-D305

Verzeichnis von C:\DOKUME~1\ABDULA~1\LOKALE~1\Temp

30.10.2006 18:45 204 jusched.log
1 Datei(en) 204 Bytes
0 Verzeichnis(se), 128.612.102.144 Bytes frei



Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 706C-D305

Verzeichnis von C:\WINDOWS

30.10.2006 18:39 190.008 setupact.log
30.10.2006 18:19 298 wiadebug.log
30.10.2006 18:19 1.940.528 WindowsUpdate.log
30.10.2006 18:19 50 wiaservc.log
30.10.2006 18:19 0 0.log
30.10.2006 18:19 2.048 bootstat.dat
28.10.2006 13:40 3.025 mozver.dat
28.10.2006 10:52 928.054 setupapi.log
25.10.2006 01:09 69 NeroDigital.ini
14.10.2006 02:03 1.393 imsins.log
14.10.2006 02:03 111.270 iis6.log
14.10.2006 02:03 282.155 tsoc.log
14.10.2006 02:03 20.150 ocmsn.log
14.10.2006 02:03 102.294 ntdtcsetup.log
14.10.2006 02:03 169.445 comsetup.log
14.10.2006 02:03 14.204 KB924191.log
14.10.2006 02:03 371.359 ocgen.log
14.10.2006 02:03 36.327 msgsocm.log
14.10.2006 02:03 716.276 FaxSetup.log
14.10.2006 02:03 52.836 updspapi.log
14.10.2006 02:03 1.393 imsins.BAK
14.10.2006 02:03 14.019 KB922819.log
14.10.2006 02:03 13.194 KB923414.log
14.10.2006 02:03 13.191 KB924496.log
14.10.2006 02:02 10.612 KB923191.log
14.10.2006 02:02 583 win.ini
30.09.2006 02:01 10.546 KB925486.log



Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 706C-D305

Verzeichnis von C:\WINDOWS\Temp

30.10.2006 18:47 13.080 idd3A.tmp.exe
30.10.2006 18:47 33.280 win39.tmp.exe
30.10.2006 18:37 944 win38.tmp

30.10.2006 18:35 409 WGANotify.settings
30.10.2006 18:35 255 WGAErrLog.txt
30.10.2006 18:35 0 win37.tmp
30.10.2006 18:35 0 win36.tmp
30.10.2006 18:35 0 win35.tmp
30.10.2006 18:33 0 win32.tmp
30.10.2006 18:33 0 win34.tmp
30.10.2006 18:33 0 win33.tmp
30.10.2006 18:31 0 win31.tmp
30.10.2006 18:31 0 win2F.tmp
30.10.2006 18:31 0 win30.tmp
30.10.2006 18:29 0 win2D.tmp
30.10.2006 18:29 0 win2C.tmp
30.10.2006 18:29 0 win2E.tmp
30.10.2006 18:27 0 win2B.tmp
30.10.2006 18:27 0 win28.tmp
30.10.2006 18:27 0 win29.tmp
30.10.2006 18:27 0 win2A.tmp
30.10.2006 18:25 0 win25.tmp
30.10.2006 18:25 0 win27.tmp
30.10.2006 18:25 0 win26.tmp
30.10.2006 18:25 0 win24.tmp
30.10.2006 18:23 0 win22.tmp
30.10.2006 18:23 0 win23.tmp
30.10.2006 18:23 0 win20.tmp
30.10.2006 18:23 0 win21.tmp
30.10.2006 18:21 0 win1F.tmp
30.10.2006 18:21 0 win1C.tmp
30.10.2006 18:21 0 win1D.tmp
30.10.2006 18:21 0 win1B.tmp
30.10.2006 18:19 0 win1A.tmp
30.10.2006 18:19 0 win19.tmp
30.10.2006 18:19 0 win18.tmp
30.10.2006 18:19 0 win14.tmp
30.10.2006 06:07 944 win1E.tmp
30.10.2006 06:05 0 win15.tmp
30.10.2006 06:05 0 win16.tmp
30.10.2006 06:05 0 win17.tmp
30.10.2006 06:03 13.080 idd14.tmp.exe
30.10.2006 06:03 0 win12.tmp
30.10.2006 06:03 0 win13.tmp
30.10.2006 06:03 0 win11.tmp
30.10.2006 06:01 0 winE.tmp
30.10.2006 06:01 0 win10.tmp
30.10.2006 06:01 0 winD.tmp
30.10.2006 06:01 0 winF.tmp
30.10.2006 05:59 0 winC.tmp
30.10.2006 05:59 0 winB.tmp
30.10.2006 05:59 0 winA.tmp
30.10.2006 05:59 0 win9.tmp
30.10.2006 05:57 0 win7.tmp
30.10.2006 05:57 0 win8.tmp
30.10.2006 05:57 0 win6.tmp
30.10.2006 05:57 0 win5.tmp
30.10.2006 05:55 0 win2.tmp
30.10.2006 05:55 0 win1.tmp
30.10.2006 05:55 0 win3.tmp
30.10.2006 05:55 0 win4.tmp
29.10.2006 22:00 13.080 idd2.tmp.exe
29.10.2006 22:00 33.280 win1.tmp.exe

63 Datei(en) 108.352 Bytes
0 Verzeichnis(se), 128.612.085.760 Bytes frei



Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 706C-D305

Verzeichnis von C:\WINDOWS\Downloaded Program Files

10.08.2006 08:02 65 desktop.ini
17.05.2006 15:52 322 wlscBase.inf
17.05.2006 15:49 419.128 wlscBase.dll
26.05.2005 03:19 293 muweb.inf
26.05.2005 03:19 291 wuweb.inf
30.06.2003 21:41 1.689 WMV9VCM.inf
20.01.2000 14:25 1.162 Microsoft XML Parser for Java.osd
14.10.1997 17:52 697 DirectAnimation Java Classes.osd
8 Datei(en) 423.647 Bytes
0 Verzeichnis(se), 128.612.085.760 Bytes frei



Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 706C-D305

Verzeichnis von C:\

30.10.2006 18:58 0 sys.txt
30.10.2006 18:57 681 down.txt
30.10.2006 18:57 3.205 tmp.txt
30.10.2006 18:56 8.706 system.txt
30.10.2006 18:56 296 systemtemp.txt
30.10.2006 18:54 96.343 system32.txt
30.10.2006 18:45 1.008 rapport.txt
30.10.2006 18:19 1.610.612.736 pagefile.sys
29.10.2006 21:55 9.551 ComboFix.txt
30.09.2006 09:43 4.193 config.cfg
27.08.2006 10:08 853.144 Bewerbungsunterlagen.zip
27.08.2006 10:07 845.144 Bewerbungsunterlagen.rar
27.08.2006 10:05 22.016 Lebenslauf.doc
18.08.2006 04:57 211 boot.ini
18.08.2006 04:55 47.564 NTDETECT.COM
18.08.2006 04:55 251.184 ntldr
11.08.2006 07:21 7.700 navbox.witze.php
10.08.2006 08:02 0 IO.SYS
10.08.2006 08:02 0 AUTOEXEC.BAT
10.08.2006 08:02 0 CONFIG.SYS
10.08.2006 08:02 0 MSDOS.SYS
31.08.2005 10:20 252.284 Gesellenbrief.jpg
31.08.2005 10:18 631.392 Arbeitgeberzeugnis.jpg
29.08.2002 13:00 4.952 bootfont.bin
24 Datei(en) 1.613.652.310 Bytes
0 Verzeichnis(se), 128.612.081.664 Bytes frei



Ich hoffe mal ich habe nix übersehen^^
__________
Greetz
Fastpower
Dieser Beitrag wurde am 31.10.2006 um 00:06 Uhr von Sabina editiert.
Seitenanfang Seitenende
31.10.2006, 00:03
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#6 Fastpower

Avenger
http://virus-protect.org/artikel/tools/avenger.html
kopiere rein

Zitat

registry keys to delete:
HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\winubh32

Files to delete:
C:\WINDOWS\system32\cmnyblg.dll
C:\WINDOWS\system32\winubh32.dll
C:\WINDOWS\Temp\idd3A.tmp.exe
C:\WINDOWS\Temp\win39.tmp.exe
C:\WINDOWS\Temp\win38.tmp
C:\WINDOWS\Temp\idd2.tmp.exe
C:\WINDOWS\Temp\win1.tmp.exe
C:\WINDOWS\Temp\win1E.tmp
C:\WINDOWS\Temp\idd14.tmp.exe
Klicke die grüne Ampel
das Script wird nun ausgeführt, dann wird der PC automatisch neustarten


öffne das HijackThis -- Button "scan" -- vor diese Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten

Zitat

R3 - URLSearchHook: (no name) - {A6311D4A-8D8A-F520-DEA8-D628E12D60B9} - C:\WINDOWS\system32\cmnyblg.dll
R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)

O2 - BHO: (no name) - {A6311D4A-8D8A-F520-DEA8-D628E12D60B9} - C:\WINDOWS\system32\cmnyblg.dll
O2 - BHO: (no name) - {c3703265-4671-4858-92a4-cba6a7b3bb45} - C:\WINDOWS\system32\ixt0.dll

O3 - Toolbar: Safety Bar - {052b12f7-86fa-4921-8482-26c42316b522} - C:\Programme\Safety Bar\SafetyBar.dll

O4 - HKCU\..\Run: [Nree] "C:\DOKUME~1\ABDULA~1\ANWEND~1\SKS~1\chkntfs.exe" -vt yazb
O4 - HKCU\..\Run: [Bpsy] C:\WINDOWS\F?nts\?poolsv.exe

O20 - Winlogon Notify: winubh32 - C:\WINDOWS\SYSTEM32\winubh32.dll
O21 - SSODL: incestuously - {03413bf7-e34c-445b-bfc0-a2b127255871} - C:\WINDOWS\system32\urroxtl.dll
PC neustarten

**
scanne und poste den scanreport
http://virus-protect.org/artikel/tools/superantispyware.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
31.10.2006, 06:15
Member

Themenstarter

Beiträge: 11
#7 Hier der log vom Avenger

Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\unbjbnnb

*******************

Script file located at: \??\C:\WINDOWS\svjdomgh.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

File C:\WINDOWS\system32\cmnyblg.dll deleted successfully.
File C:\WINDOWS\system32\winubh32.dll deleted successfully.
File C:\WINDOWS\Temp\idd3A.tmp.exe deleted successfully.
File C:\WINDOWS\Temp\win39.tmp.exe deleted successfully.
File C:\WINDOWS\Temp\win38.tmp deleted successfully.
File C:\WINDOWS\Temp\idd2.tmp.exe deleted successfully.
File C:\WINDOWS\Temp\win1.tmp.exe deleted successfully.
File C:\WINDOWS\Temp\win1E.tmp deleted successfully.
File C:\WINDOWS\Temp\idd14.tmp.exe deleted successfully.
Registry key HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\winubh32 deleted successfully.

Completed script processing.

*******************

Finished! Terminate.



Und noch einmal Hijackthis report

Logfile of HijackThis v1.99.1
Scan saved at 06:19:49, on 31.10.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\VIA\RAID\raid_tool.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\RunDLL32.exe
C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Dokumente und Einstellungen\Abdula Kimbasa\Desktop\Trojaner\HijackThis.exe

R3 - URLSearchHook: (no name) - {A6311D4A-8D8A-F520-DEA8-D628E12D60B9} - C:\WINDOWS\system32\cmnyblg.dll (file missing)
R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: (no name) - {A6311D4A-8D8A-F520-DEA8-D628E12D60B9} - C:\WINDOWS\system32\cmnyblg.dll (file missing)
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [RaidTool] C:\Programme\VIA\RAID\raid_tool.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [NvMediaCenter] RunDLL32.exe NvMCTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Nree] "C:\DOKUME~1\ABDULA~1\ANWEND~1\SKS~1\chkntfs.exe" -vt yazb
O4 - HKCU\..\Run: [Bpsy] C:\WINDOWS\F?nts\?poolsv.exe
O4 - Startup: Adobe Gamma.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {5ED80217-570B-4DA9-BF44-BE107C0EC166} (Windows Live Safety Center Base Module) - http://scan.safety.live.com/resource/download/scanner/wlscbase5059.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1155386343484
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1155386328343
O17 - HKLM\System\CCS\Services\Tcpip\..\{2D2775AA-E9E9-4C08-8875-0727CA2846FF}: NameServer = 192.168.178.1
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
__________
Greetz
Fastpower
Dieser Beitrag wurde am 31.10.2006 um 06:22 Uhr von Fastpower editiert.
Seitenanfang Seitenende
31.10.2006, 10:36
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#8 Fastpower

öffne das HijackThis -- Button "scan" -- vor diese Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten

Zitat

R3 - URLSearchHook: (no name) - {A6311D4A-8D8A-F520-DEA8-D628E12D60B9} - C:\WINDOWS\system32\cmnyblg.dll (file missing)
R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)

O2 - BHO: (no name) - {A6311D4A-8D8A-F520-DEA8-D628E12D60B9} - C:\WINDOWS\system32\cmnyblg.dll (file missing)

O4 - HKCU\..\Run: [Nree] "C:\DOKUME~1\ABDULA~1\ANWEND~1\SKS~1\chkntfs.exe" -vt yazb

O4 - HKCU\..\Run: [Bpsy] C:\WINDOWS\F?nts\?poolsv.exe
PC neustarten

««
scanne und poste den scanreport
http://virus-protect.org/artikel/tools/superantispyware.html
+
noch mal das log vom HijackThis
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
01.11.2006, 19:59
Member

Themenstarter

Beiträge: 11
#9 SUPERAntiSpyware Scan Log
Generated 11/01/2006 at 07:55 PM

Application Version : 3.3.1020

Core Rules Database Version : 3118
Trace Rules Database Version: 1141

Scan type : Complete Scan
Total Scan Time : 00:21:50

Memory items scanned : 315
Memory Thread detected : 0
Registry items scanned : 4684
Registry Thread detected : 0
File items scanned : 62526
File Thread detected : 2

Adware.ClickSpring
C:\SYSTEM VOLUME INFORMATION\_RESTORE{A3A3582F-40EF-4A53-A765-F157F1B10419}\RP126\A0015270.EXE
C:\SYSTEM VOLUME INFORMATION\_RESTORE{A3A3582F-40EF-4A53-A765-F157F1B10419}\RP126\A0015271.EXE




Logfile of HijackThis v1.99.1
Scan saved at 19:57:07, on 01.11.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\VIA\RAID\raid_tool.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\SUPERAntiSpyware\SUPERAntiSpyware.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Dokumente und Einstellungen\Abdula Kimbasa\Desktop\Trojaner\HijackThis.exe

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [RaidTool] C:\Programme\VIA\RAID\raid_tool.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [NvMediaCenter] RunDLL32.exe NvMCTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SUPERAntiSpyware] C:\Programme\SUPERAntiSpyware\SUPERAntiSpyware.exe
O4 - Startup: Adobe Gamma.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {5ED80217-570B-4DA9-BF44-BE107C0EC166} (Windows Live Safety Center Base Module) - http://scan.safety.live.com/resource/download/scanner/wlscbase5059.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1155386343484
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1155386328343
O17 - HKLM\System\CCS\Services\Tcpip\..\{2D2775AA-E9E9-4C08-8875-0727CA2846FF}: NameServer = 192.168.178.1
O20 - Winlogon Notify: !SASWinLogon - C:\Programme\SUPERAntiSpyware\SASWINLO.dll
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
__________
Greetz
Fastpower
Seitenanfang Seitenende
01.11.2006, 20:20
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#10 fein ;)
es ist alles wieder o.k.
oder gibt es noch Probleme ?????
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
02.11.2006, 18:48
Member

Themenstarter

Beiträge: 11
#11 Nein, besten Dank, klappt wieder alles bestens ;) und thx nochmal für den klasse Support. Ich hoffe ich muss so schnell nicht wieder rein schauen^^
__________
Greetz
Fastpower
Seitenanfang Seitenende