Hallo Leute, ich brauch mal bitte eure Hilfe^^
Hab seit geraumer Zeit nen lästigen Virus, oder wie auch immer aufer Platte und krieg den nicht los, hab mich in dem Topic "roter kreis ..." ein wenig durchgeblättert, aber nicht all zu viel verstanden, wie ich persönlich vorzugehen habe^^ sofern ich das aber richtig verstanden habe hilft euch ein post meiner hijackthis log datei: (vers.v1.99.1)

Logfile of HijackThis v1.99.1
Scan saved at 00:06:29, on 06.04.2006
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\System32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\G DATA Windows XP Styler\StyleXPService.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\IVT Corporation\BlueSoleil\BTNtService.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\tcpsvcs.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZONELABS\vsmon.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINDOWS\vsnct511.exe
C:\WINDOWS\vsnpstd.exe
C:\WINDOWS\System32\LVCOMSX.EXE
C:\Programme\Logitech\Video\LogiTray.exe
C:\Programme\T-COM\T-COM WLAN Manager T-Sinus 154data\Installer\WINXP\DTUSB11GMonitor.exe
C:\Programme\Logitech\Video\FxSvr2.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Dokumente und Einstellungen\DarkGriever\Desktop\HijackThis.exe

O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [AnimatedWallpaper] C:\Programme\3d Animated Wallpaper\AnimWallpaper.exe
O4 - HKLM\..\Run: [SetIcon] C:\Program Files\Icons\Seticon.exe
O4 - HKLM\..\Run: [SNCT511] C:\WINDOWS\vsnct511.exe
O4 - HKLM\..\Run: [snpstd] C:\WINDOWS\vsnpstd.exe
O4 - HKLM\..\Run: [LVCOMSX] C:\WINDOWS\System32\LVCOMSX.EXE
O4 - HKLM\..\Run: [LogitechVideoRepair] C:\Programme\Logitech\Video\ISStart.exe
O4 - HKLM\..\Run: [LogitechVideoTray] C:\Programme\Logitech\Video\LogiTray.exe
O4 - HKLM\..\RunOnce: [NCInstallQueue] rundll32 netman.dll,ProcessQueue
O4 - HKCU\..\Run: [STYLEXP] C:\Programme\G DATA Windows XP Styler\StyleXP.exe -Hide
O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [LogitechSoftwareUpdate] C:\Programme\Logitech\Video\ManifestEngine.exe boot
O4 - Global Startup: T-COM WLAN Manager T-Sinus 154data.lnk = C:\Programme\T-COM\T-COM WLAN Manager T-Sinus 154data\Installer\WINXP\DTUSB11GMonitor.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O12 - Plugin for .mid: C:\Programme\Internet Explorer\PLUGINS\npqtplugin2.dll
O12 - Plugin for .mpeg: C:\Programme\Internet Explorer\PLUGINS\npqtplugin3.dll
O12 - Plugin for .wav: C:\Programme\Internet Explorer\PLUGINS\npqtplugin.dll
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/Me ... b31267.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{12BD76B2-2D51-4995-8467-898F65AE5BD3}: NameServer = 192.168.2.1
O17 - HKLM\System\CCS\Services\Tcpip\..\{9FD0F316-9EB8-46EB-902D-B37D1CA04E23}: NameServer = 192.168.2.1
O17 - HKLM\System\CS1\Services\Tcpip\..\{12BD76B2-2D51-4995-8467-898F65AE5BD3}: NameServer = 192.168.2.1
O17 - HKLM\System\CS2\Services\Tcpip\..\{12BD76B2-2D51-4995-8467-898F65AE5BD3}: NameServer = 192.168.2.1
O23 - Service: BlueSoleil Hid Service - Unknown owner - C:\Programme\IVT Corporation\BlueSoleil\BTNtService.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Power Manager (PowerManager) - Unknown owner - C:\WINDOWS\svchost.exe (file missing)
O23 - Service: StyleXPService - Unknown owner - C:\Programme\G DATA Windows XP Styler\StyleXPService.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs Inc. - C:\WINDOWS\system32\ZONELABS\vsmon.exe

bitte leute hilft mir =( wie hab ich jetzt noch vorzugehen? ... bitte um schnellstmögliche antwort, vielen vielen dank im vorraus ... bis dann, gruss, hardcorejunky

ach, und ein gewisses spyquake 2.0 oder so installiert sich und öffnet sich irgendwie andauernd, egal ob ich es wieder deinstalliere und beende, es kommt immer wieder, helft mir schnell bidde =)
danke, mfg, hardcorejunky

Stelle den CleanUp genauso ein, wie hier angegeben:
http://virus-protect.org/cleanup.html

Kopiere diese 4 Textdateien. Sie sind nach Datum geordnet. (kopiere nur die letzten 3 Monate ab)
http://virus-protect.org/datfindbat.html

1. log

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 1802-80D1

Verzeichnis von C:\WINDOWS\system32

08.04.2006 22:00 890 vsconfig.xml
08.04.2006 12:27 2.206 wpa.dbl
30.03.2006 00:44 6.656 interf.tlb
30.03.2006 00:44 4.976 ncompat.tlb
29.03.2006 23:46 4.286 ot.ico
29.03.2006 23:46 176.128 stickrep.dll
29.03.2006 23:46 4.286 ts.ico
29.03.2006 23:39 15.513 dfrgsrv.exe
26.03.2006 13:11 1.572.448 FNTCACHE.DAT
26.01.2006 07:08 1.205 lvcoinst.log
25.01.2006 04:34 118.784 sirenacm.dll




2. log

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 1802-80D1

Verzeichnis von C:\DOKUME~1\DARKGR~1\LOKALE~1\Temp

08.04.2006 22:00 537 LVCOMSX.LOG
08.04.2006 22:00 32.723 SQLanguage.ini
04.04.2006 04:40 118 0CF6E057.TMP
3 Datei(en) 33.378 Bytes
0 Verzeichnis(se), 5.407.719.424 Bytes frei




3. log

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 1802-80D1

Verzeichnis von C:\WINDOWS

08.04.2006 22:01 2.051.722 WindowsUpdate.log
08.04.2006 22:00 1.314.486 setupapi.log
08.04.2006 22:00 0 0.log
08.04.2006 22:00 159 wiadebug.log
08.04.2006 21:59 2.048 bootstat.dat
08.04.2006 21:59 50 wiaservc.log
08.04.2006 21:59 32.530 SchedLgU.Txt
06.04.2006 02:28 116 NeroDigital.ini
27.03.2006 22:52 191.224 setupact.log
27.03.2006 00:12 2.024 ModemLog_Bluetooth LAP Modem #2.txt
27.03.2006 00:12 2.022 ModemLog_Bluetooth Fax Modem.txt
27.03.2006 00:12 2.028 ModemLog_Bluetooth DUN Modem.txt
27.03.2006 00:12 2.024 ModemLog_Bluetooth LAP Modem.txt
13.03.2006 00:09 65.835 wmsetup.log
26.02.2006 22:31 1.034 win.ini
20.01.2006 17:37 236.298 ntbtlog.txt




4. log

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 1802-80D1

Verzeichnis von C:\

08.04.2006 22:05 0 sys.txt
08.04.2006 22:05 8.848 system.txt
08.04.2006 22:05 397 systemtemp.txt
08.04.2006 22:03 102.237 system32.txt
08.04.2006 21:59 536.399.872 hiberfil.sys
08.04.2006 21:59 805.306.368 pagefile.sys
01.01.2005 17:52 0 AUTOEXEC.BAT
01.01.2005 17:52 0 CONFIG.SYS
01.01.2005 17:52 0 MSDOS.SYS
01.01.2005 17:52 0 IO.SYS
01.01.2005 17:48 194 BOOT.BKK
01.01.2005 17:48 194 boot.ini
28.08.2002 23:05 235.296 ntldr
28.08.2002 19:08 47.580 NTDETECT.COM
18.08.2001 19:00 4.952 bootfont.bin
15 Datei(en) 1.342.105.938 Bytes
0 Verzeichnis(se), 5.407.694.848 Bytes frei




habe zuerst cleanup durchlaufen lassen mit den besagten einstellungen, hoffe das hilft weiter, für schnelle antw. wär ich dankbar^^
gruss, hardcorejunky

hallo ich nochmal habe rebootet und so ... und hab festgestellt, dass dieses popup nicht mehr erscheint und spyquake sich auch nicht wieder installiert ... kann ich also jetzt davon ausgehen, dass mein rechner geheilt ist ja?^^
bitte um antwort, und vielen vielen dank für die hilfe!!! =)

**

powermanager
http://virus-protect.org/artikel/dienst ... nager.html

Start - Ausfuehren - regedit

Sollte man Probleme haben, die Einträge zu löschen,
Legacy_ .....kann nicht gelöscht werden. Fehler beim Löschen des Schlüssels,
dann gehe mit Rechtsklick im Kontextmenü auf: "Berechtigungen" Setze das Häkchen bei "Vollzugriff zulassen" Übernehmen, OK
Danach sollte(n) sich der(die) betreffenden Schlüssel löschen lassen

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_POWERMANAGER\0000
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\PowerManager
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_POWERMANAGER]
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\PowerManager]
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_POWERMANAGER\0000]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_POWERMANAGER]
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\PowerManager]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_POWERMANAGER\0000]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\PowerManager]

arbeite das ab:
http://virus-protect.org/artikel/spywar ... quake.html

Killbox (Punkt 4)

C:\WINDOWS\system32\vsconfig.xml
C:\WINDOWS\system32\interf.tlb
C:\DOKUME~1\DARKGR~1\LOKALE~1\Temp\SQLanguage.ini
C:\WINDOWS\system32\ncompat.tlb
C:\WINDOWS\svchost.exe
C:\WINDOWS\system32\ot.ico
C:\WINDOWS\system32\stickrep.dll
C:\WINDOWS\system32\ts.ico
C:\WINDOWS\system32\dfrgsrv.exe

kopiere dann hier den Scanreport vom Kaspersky-Onlinescan

Danke danke danke schön nochmal an alle die geholfen haben ... habe aber seit längerem bzw. kurz darauf wieder etwas neues ubekanntes auf dem rechner, ich hab da echt kein plan und bin bissl die schritte nochmals durchgegangen aus der hoffnung, dass das auch klappt, war aber leider nichts ... werde gleich ein neues thread eröffnen, falls ich darf, danke, mfg, hardcorejunky

keinen neuen Thread eroeffnen, bleibein dem hier