Wahrscheinlich Spyquakeproblem...
4 Beiträge • Seite 1 von 1
Wahrscheinlich Spyquakeproblem...
von Marneus am 03.08.2006, 21:51
Hallo zusammen,
ich habe auf meinem Rechner eine Anzeige die mir andauernd sagt das mein Computer von einem Virus befallen ist. Ist so ein Pop-Up, wie es hier schon einige Beschrieben haben. Ich habe CleanUp schon laufen lassen und die Log von Datfindbat (diese stelle im Anschluss noch rein. Leider konnte ich allein nichts weiter machen nud kein weiteres Posting hat mir geholfen, darum nun ein neues Posting von mir für das Problem.
Wäre sehr freundlich wenn mir jemand helfen könnte dieses dumme Ding loszuwerden.
Vielen Dank schonmal an Nikita, die ganzen Postings haben mir schonmal einen Schritt weiter geholfen.
Ich hoffe das man mit den Logs was anfangen kann.
Gruß
Hijack This Log:
Logfile of HijackThis v1.99.1
Scan saved at 19:59:00, on 31.07.2006
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\System32\CTsvcCDA.EXE
C:\WINDOWS\system32\pctspk.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\issearch.exe
C:\PROGRA~1\0190WA~1\WARN0190.EXE
C:\Programme\QuickTime\qttask.exe
C:\Programme\Anti-Trojan-55\ATWatch.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Creative\MediaSource\Detector\CTDetect.exe
C:\Dokumente und Einstellungen\Sandra\Eigene Dateien\?dobe\d?dplay.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\wkcalrem.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
C:\Programme\Kodak\Kodak EasyShare software\bin\EasyShare.exe
C:\Programme\Zone Labs\ZoneAlarm\zonealarm.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\PCWELT\SH_09_06\hijackthis\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.freemail.de/
R3 - Default URLSearchHook is missing
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [Microsoft Works Portfolio] C:\Programme\Microsoft Works\WksSb.exe /AllUsers
O4 - HKLM\..\Run: [ElbyCheckElbyCDFL] "C:\Programme\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL
O4 - HKLM\..\Run: [0190 Warner] C:\PROGRA~1\0190WA~1\WARN0190.EXE
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_04\bin\jusched.exe
O4 - HKLM\..\Run: [AT-Watch] C:\Programme\Anti-Trojan-55\ATWatch.exe
O4 - HKLM\..\Run: [Anti-Trojan-Watch] C:\Programme\Anti-Trojan-55\ATWatch.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [Creative Detector] C:\Programme\Creative\MediaSource\Detector\CTDetect.exe /R
O4 - HKCU\..\Run: [Rtct] "C:\DOKUME~1\Sandra\ANWEND~1\FNTS~1\tracert.exe" -vt yazr
O4 - HKCU\..\Run: [Microsoft Works Update Detection] C:\Programme\Microsoft Works\WkDetect.exe
O4 - HKCU\..\Run: [Tup] C:\Dokumente und Einstellungen\Sandra\Eigene Dateien\?dobe\d?dplay.exe
O4 - Global Startup: Erinnerungen in Microsoft Works-Kalender.lnk = ?
O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
O4 - Global Startup: Kodak EasyShare Software.lnk = C:\Programme\Kodak\Kodak EasyShare software\bin\EasyShare.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: ZoneAlarm.lnk = C:\Programme\Zone Labs\ZoneAlarm\zonealarm.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll
O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v ... 7629752906
O17 - HKLM\System\CCS\Services\Tcpip\..\{52374322-BD18-44F4-981B-65005B0ECF9A}: NameServer = 62.104.191.241 62.104.196.134
O17 - HKLM\System\CS1\Services\Tcpip\..\{52374322-BD18-44F4-981B-65005B0ECF9A}: NameServer = 62.104.191.241 62.104.196.134
O20 - AppInit_DLLs: C:\WINDOWS\System32\nslookup.dll
O21 - SSODL: cinnamomum - {93ac7c30-3878-4eaa-9420-7977285df5b1} - C:\WINDOWS\System32\pmnqguh.dll
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\System32\CTsvcCDA.EXE
O23 - Service: Kodak Camera Connection Software (KodakCCS) - Eastman Kodak Company - C:\WINDOWS\system32\drivers\KodakCCS.exe
O23 - Service: PCTEL Speaker Phone (Pctspk) - PCtel, Inc. - C:\WINDOWS\system32\pctspk.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs Inc. - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
Datfinbat Log:
Sys:
31.07.2006 19:40 0 sys.txt
31.07.2006 19:40 5.771 system.txt
31.07.2006 19:40 658 systemtemp.txt
31.07.2006 19:09 90.765 system32.txt
31.07.2006 19:01 267.964.416 hiberfil.sys
31.07.2006 19:01 402.653.184 pagefile.sys
System:
1.07.2006 19:12 1.610.483 WindowsUpdate.log
31.07.2006 19:08 54.156 QTFont.qfn
31.07.2006 19:04 213.492 xpsp1hfm.log
31.07.2006 19:04 783 Q815021.log
31.07.2006 19:03 50 wiaservc.log
31.07.2006 19:03 159 wiadebug.log
31.07.2006 19:01 0 0.log
31.07.2006 19:01 2.048 bootstat.dat
31.07.2006 13:20 32.556 SchedLgU.Txt
26.07.2006 22:37 5.992.114 ntbtlog.txt
26.07.2006 17:43 17.840 ModemLog_HSP56 World MicroModem.txt
26.07.2006 17:30 1.409 QTFont.for
24.07.2006 18:04 167.154 setupapi.log
22.07.2006 13:23 502 ODBC.INI
20.05.2006 12:32 144.482 setupact.log
17.04.2006 10:25 20.892 iis6.log
17.04.2006 10:25 60.302 comsetup.log
17.04.2006 10:25 35.915 ntdtcsetup.log
17.04.2006 10:25 1.374 imsins.log
17.04.2006 10:25 64.937 tsoc.log
17.04.2006 10:25 6.958 ocmsn.log
17.04.2006 10:25 82.379 ocgen.log
17.04.2006 10:25 7.920 msgsocm.log
17.04.2006 10:25 149.104 FaxSetup.log
11.04.2006 11:15 197 Q282010.log
System32:
Verzeichnis von C:\WINDOWS\system32
31.07.2006 19:09 2.099 ppqss.ini
31.07.2006 19:08 29.184 ixt0.dll
31.07.2006 12:50 13.012 wpa.dbl
26.07.2006 17:32 237 vsconfig.xml
25.07.2006 21:37 4.947 ikhcore.log
24.07.2006 21:38 43.520 issearch.exe
24.07.2006 21:37 4.286 ot.ico
24.07.2006 21:37 4.286 ts.ico
24.07.2006 21:37 8.616 isnotify.exe
23.07.2006 11:58 2.953 CONFIG.NT
22.07.2006 16:59 2 wnstscc.exe
22.07.2006 14:04 573.492 ssqpp.dll
22.07.2006 11:36 38.925 iifeedb.dll
07.07.2006 03:21 6.757.792 MRT.exe
02.06.2006 11:04 57.384 avsda.dll
29.04.2006 08:25 215.264 FNTCACHE.DAT
21.04.2006 21:14 311.604 perfh009.dat
21.04.2006 21:14 316.594 perfh007.dat
21.04.2006 21:14 39.992 perfc009.dat
21.04.2006 21:14 48.156 perfc007.dat
21.04.2006 21:14 723.744 PerfStringBackup.INI
Systemtemp:
Verzeichnis von C:\DOKUME~1\Sandra\LOKALE~1\Temp
31.07.2006 19:09 0 me_jKpAnI5vAVXyJK0
31.07.2006 19:09 0 me_5qgwednl385MLbA
31.07.2006 19:09 0 me_PRNNBca0DsLNRhq
31.07.2006 19:09 0 me_dyyqeNGPURpsq99
31.07.2006 19:09 0 me_IegF5f8VzqnbQtc
31.07.2006 19:08 16.384 ~DFBEE.tmp
31.07.2006 19:08 143 jusched.log
31.07.2006 19:01 16.384 ~DFBC8E.tmp
ich habe auf meinem Rechner eine Anzeige die mir andauernd sagt das mein Computer von einem Virus befallen ist. Ist so ein Pop-Up, wie es hier schon einige Beschrieben haben. Ich habe CleanUp schon laufen lassen und die Log von Datfindbat (diese stelle im Anschluss noch rein. Leider konnte ich allein nichts weiter machen nud kein weiteres Posting hat mir geholfen, darum nun ein neues Posting von mir für das Problem.
Wäre sehr freundlich wenn mir jemand helfen könnte dieses dumme Ding loszuwerden.
Vielen Dank schonmal an Nikita, die ganzen Postings haben mir schonmal einen Schritt weiter geholfen.
Ich hoffe das man mit den Logs was anfangen kann.
Gruß
Hijack This Log:
Logfile of HijackThis v1.99.1
Scan saved at 19:59:00, on 31.07.2006
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\System32\CTsvcCDA.EXE
C:\WINDOWS\system32\pctspk.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\issearch.exe
C:\PROGRA~1\0190WA~1\WARN0190.EXE
C:\Programme\QuickTime\qttask.exe
C:\Programme\Anti-Trojan-55\ATWatch.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Creative\MediaSource\Detector\CTDetect.exe
C:\Dokumente und Einstellungen\Sandra\Eigene Dateien\?dobe\d?dplay.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\wkcalrem.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
C:\Programme\Kodak\Kodak EasyShare software\bin\EasyShare.exe
C:\Programme\Zone Labs\ZoneAlarm\zonealarm.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\PCWELT\SH_09_06\hijackthis\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.freemail.de/
R3 - Default URLSearchHook is missing
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [Microsoft Works Portfolio] C:\Programme\Microsoft Works\WksSb.exe /AllUsers
O4 - HKLM\..\Run: [ElbyCheckElbyCDFL] "C:\Programme\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL
O4 - HKLM\..\Run: [0190 Warner] C:\PROGRA~1\0190WA~1\WARN0190.EXE
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_04\bin\jusched.exe
O4 - HKLM\..\Run: [AT-Watch] C:\Programme\Anti-Trojan-55\ATWatch.exe
O4 - HKLM\..\Run: [Anti-Trojan-Watch] C:\Programme\Anti-Trojan-55\ATWatch.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [Creative Detector] C:\Programme\Creative\MediaSource\Detector\CTDetect.exe /R
O4 - HKCU\..\Run: [Rtct] "C:\DOKUME~1\Sandra\ANWEND~1\FNTS~1\tracert.exe" -vt yazr
O4 - HKCU\..\Run: [Microsoft Works Update Detection] C:\Programme\Microsoft Works\WkDetect.exe
O4 - HKCU\..\Run: [Tup] C:\Dokumente und Einstellungen\Sandra\Eigene Dateien\?dobe\d?dplay.exe
O4 - Global Startup: Erinnerungen in Microsoft Works-Kalender.lnk = ?
O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
O4 - Global Startup: Kodak EasyShare Software.lnk = C:\Programme\Kodak\Kodak EasyShare software\bin\EasyShare.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: ZoneAlarm.lnk = C:\Programme\Zone Labs\ZoneAlarm\zonealarm.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll
O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v ... 7629752906
O17 - HKLM\System\CCS\Services\Tcpip\..\{52374322-BD18-44F4-981B-65005B0ECF9A}: NameServer = 62.104.191.241 62.104.196.134
O17 - HKLM\System\CS1\Services\Tcpip\..\{52374322-BD18-44F4-981B-65005B0ECF9A}: NameServer = 62.104.191.241 62.104.196.134
O20 - AppInit_DLLs: C:\WINDOWS\System32\nslookup.dll
O21 - SSODL: cinnamomum - {93ac7c30-3878-4eaa-9420-7977285df5b1} - C:\WINDOWS\System32\pmnqguh.dll
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\System32\CTsvcCDA.EXE
O23 - Service: Kodak Camera Connection Software (KodakCCS) - Eastman Kodak Company - C:\WINDOWS\system32\drivers\KodakCCS.exe
O23 - Service: PCTEL Speaker Phone (Pctspk) - PCtel, Inc. - C:\WINDOWS\system32\pctspk.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs Inc. - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
Datfinbat Log:
Sys:
31.07.2006 19:40 0 sys.txt
31.07.2006 19:40 5.771 system.txt
31.07.2006 19:40 658 systemtemp.txt
31.07.2006 19:09 90.765 system32.txt
31.07.2006 19:01 267.964.416 hiberfil.sys
31.07.2006 19:01 402.653.184 pagefile.sys
System:
1.07.2006 19:12 1.610.483 WindowsUpdate.log
31.07.2006 19:08 54.156 QTFont.qfn
31.07.2006 19:04 213.492 xpsp1hfm.log
31.07.2006 19:04 783 Q815021.log
31.07.2006 19:03 50 wiaservc.log
31.07.2006 19:03 159 wiadebug.log
31.07.2006 19:01 0 0.log
31.07.2006 19:01 2.048 bootstat.dat
31.07.2006 13:20 32.556 SchedLgU.Txt
26.07.2006 22:37 5.992.114 ntbtlog.txt
26.07.2006 17:43 17.840 ModemLog_HSP56 World MicroModem.txt
26.07.2006 17:30 1.409 QTFont.for
24.07.2006 18:04 167.154 setupapi.log
22.07.2006 13:23 502 ODBC.INI
20.05.2006 12:32 144.482 setupact.log
17.04.2006 10:25 20.892 iis6.log
17.04.2006 10:25 60.302 comsetup.log
17.04.2006 10:25 35.915 ntdtcsetup.log
17.04.2006 10:25 1.374 imsins.log
17.04.2006 10:25 64.937 tsoc.log
17.04.2006 10:25 6.958 ocmsn.log
17.04.2006 10:25 82.379 ocgen.log
17.04.2006 10:25 7.920 msgsocm.log
17.04.2006 10:25 149.104 FaxSetup.log
11.04.2006 11:15 197 Q282010.log
System32:
Verzeichnis von C:\WINDOWS\system32
31.07.2006 19:09 2.099 ppqss.ini
31.07.2006 19:08 29.184 ixt0.dll
31.07.2006 12:50 13.012 wpa.dbl
26.07.2006 17:32 237 vsconfig.xml
25.07.2006 21:37 4.947 ikhcore.log
24.07.2006 21:38 43.520 issearch.exe
24.07.2006 21:37 4.286 ot.ico
24.07.2006 21:37 4.286 ts.ico
24.07.2006 21:37 8.616 isnotify.exe
23.07.2006 11:58 2.953 CONFIG.NT
22.07.2006 16:59 2 wnstscc.exe
22.07.2006 14:04 573.492 ssqpp.dll
22.07.2006 11:36 38.925 iifeedb.dll
07.07.2006 03:21 6.757.792 MRT.exe
02.06.2006 11:04 57.384 avsda.dll
29.04.2006 08:25 215.264 FNTCACHE.DAT
21.04.2006 21:14 311.604 perfh009.dat
21.04.2006 21:14 316.594 perfh007.dat
21.04.2006 21:14 39.992 perfc009.dat
21.04.2006 21:14 48.156 perfc007.dat
21.04.2006 21:14 723.744 PerfStringBackup.INI
Systemtemp:
Verzeichnis von C:\DOKUME~1\Sandra\LOKALE~1\Temp
31.07.2006 19:09 0 me_jKpAnI5vAVXyJK0
31.07.2006 19:09 0 me_5qgwednl385MLbA
31.07.2006 19:09 0 me_PRNNBca0DsLNRhq
31.07.2006 19:09 0 me_dyyqeNGPURpsq99
31.07.2006 19:09 0 me_IegF5f8VzqnbQtc
31.07.2006 19:08 16.384 ~DFBEE.tmp
31.07.2006 19:08 143 jusched.log
31.07.2006 19:01 16.384 ~DFBC8E.tmp
- Marneus
- Beiträge: 2
- Registriert: 31.07.2006, 20:03
von Nikita am 04.08.2006, 01:31
1.
wende smitfraudfix an (Option 1 und 2 - lasse auch die registry mitreinigen)
http://virus-protect.org/artikel/tools/ ... utfix.html
poste beide reports
2.
Avenger
http://virus-protect.org/artikel/tools/avenger.html
kopiere rein
Klicke die gruene Ampel
das Script wird nun ausgeführt, dann wird der PC automatisch neustarten
3.
poste das log vom avenger, was erscheint
4.
Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als listen.bat mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden. --> die listen.bat doppelt klicken--> kopiere den Text, der erscheint
5.
poste das log:
http://virus-protect.org/artikel/tools/combofix.html
wende smitfraudfix an (Option 1 und 2 - lasse auch die registry mitreinigen)
http://virus-protect.org/artikel/tools/ ... utfix.html
poste beide reports
2.
Avenger
http://virus-protect.org/artikel/tools/avenger.html
kopiere rein
Files to delete:
C:\WINDOWS\system32\ppqss.ini
C:\WINDOWS\system32\ixt0.dll
C:\WINDOWS\system32\issearch.exe
C:\WINDOWS\system32\ot.ico
C:\WINDOWS\system32\ts.ico
C:\WINDOWS\system32\isnotify.exe
C:\WINDOWS\system32\wnstscc.exe
C:\WINDOWS\system32\ssqpp.dll
C:\WINDOWS\system32\iifeedb.dll
C:\Dokumente und Einstellungen\Sandra\Lokale Einstellungen\Temp\me_jKpAnI5vAVXyJK0
C:\Dokumente und Einstellungen\Sandra\Lokale Einstellungen\Temp\me_5qgwednl385MLbA
C:\Dokumente und Einstellungen\Sandra\Lokale Einstellungen\Temp\me_PRNNBca0DsLNRhq
C:\Dokumente und Einstellungen\Sandra\Lokale Einstellungen\Temp\me_dyyqeNGPURpsq99
C:\Dokumente und Einstellungen\Sandra\Lokale Einstellungen\Temp\me_IegF5f8VzqnbQtc
C:\WINDOWS\System32\pmnqguh.dll
C:\WINDOWS\System32\nslookup.dll
Klicke die gruene Ampel
das Script wird nun ausgeführt, dann wird der PC automatisch neustarten
3.
poste das log vom avenger, was erscheint
4.
Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als listen.bat mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden. --> die listen.bat doppelt klicken--> kopiere den Text, der erscheint
cd\
dir "C:\Dokumente und Einstellungen\Sandra\Eigene Dateien" >>files.txt
dir "C:\WINDOWS\system32\components" >>files.txt
dir "C:\WINDOWS\Downloaded Program Files" >>files.txt
dir "C:\Programme\Common Files" >>files.txt
dir "C:\Program Files" >>files.txt
dir "C:\Dokumente und Einstellungen\%UserName%\Lokale Einstellungen\Temp" >>files.txt
dir "C:\WINDOWS\Temp" >>files.txt
dir "C:\Temp" >>files.txt
dir "C:\Programme" >>files.txt
dir "C:\Dokumente und Einstellungen\%UserName%\Lokale Einstellungen\Anwendungsdaten" >>files.txt
dir "C:\Dokumente und Einstellungen\%UserName%\Anwendungsdaten" >>files.txt
dir "C:\Programme\Gemeinsame Dateien" >>files.txt
notepad files.txt
5.
poste das log:
http://virus-protect.org/artikel/tools/combofix.html
- Nikita
- Moderator
- Beiträge: 11478
- Registriert: 07.12.2003, 16:53
- Wohnort: Lissabon
von Marneus am 04.08.2006, 18:54
Hallo wieder 
so, das ICON ist nun weg und im Moment scheint alles ruhig. HIer ist erstmal das Log vom Avenger, das andere editiere ich gleich rein.
Danke an Nikita für die Hilfe!
Gruss
Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\btgrlucu
*******************
Script file located at: \??\C:\Program Files\jotioama.txt
Script file opened successfully.
Script file read successfully
Backups directory opened successfully at C:\Avenger
*******************
Beginning to process script file:
File C:\WINDOWS\system32\ppqss.ini deleted successfully.
File C:\WINDOWS\system32\ixt0.dll not found!
Deletion of file C:\WINDOWS\system32\ixt0.dll failed!
Could not process line:
C:\WINDOWS\system32\ixt0.dll
Status: 0xc0000034
File C:\WINDOWS\system32\issearch.exe not found!
Deletion of file C:\WINDOWS\system32\issearch.exe failed!
Could not process line:
C:\WINDOWS\system32\issearch.exe
Status: 0xc0000034
File C:\WINDOWS\system32\ot.ico not found!
Deletion of file C:\WINDOWS\system32\ot.ico failed!
Could not process line:
C:\WINDOWS\system32\ot.ico
Status: 0xc0000034
File C:\WINDOWS\system32\ts.ico not found!
Deletion of file C:\WINDOWS\system32\ts.ico failed!
Could not process line:
C:\WINDOWS\system32\ts.ico
Status: 0xc0000034
File C:\WINDOWS\system32\isnotify.exe not found!
Deletion of file C:\WINDOWS\system32\isnotify.exe failed!
Could not process line:
C:\WINDOWS\system32\isnotify.exe
Status: 0xc0000034
File C:\WINDOWS\system32\wnstscc.exe deleted successfully.
File C:\WINDOWS\system32\ssqpp.dll deleted successfully.
File C:\WINDOWS\system32\iifeedb.dll deleted successfully.
File C:\Dokumente und Einstellungen\Sandra\Lokale Einstellungen\Temp\me_jKpAnI5vAVXyJK0 not found!
Deletion of file C:\Dokumente und Einstellungen\Sandra\Lokale Einstellungen\Temp\me_jKpAnI5vAVXyJK0 failed!
Could not process line:
C:\Dokumente und Einstellungen\Sandra\Lokale Einstellungen\Temp\me_jKpAnI5vAVXyJK0
Status: 0xc0000034
File C:\Dokumente und Einstellungen\Sandra\Lokale Einstellungen\Temp\me_5qgwednl385MLbA not found!
Deletion of file C:\Dokumente und Einstellungen\Sandra\Lokale Einstellungen\Temp\me_5qgwednl385MLbA failed!
Could not process line:
C:\Dokumente und Einstellungen\Sandra\Lokale Einstellungen\Temp\me_5qgwednl385MLbA
Status: 0xc0000034
File C:\Dokumente und Einstellungen\Sandra\Lokale Einstellungen\Temp\me_PRNNBca0DsLNRhq not found!
Deletion of file C:\Dokumente und Einstellungen\Sandra\Lokale Einstellungen\Temp\me_PRNNBca0DsLNRhq failed!
Could not process line:
C:\Dokumente und Einstellungen\Sandra\Lokale Einstellungen\Temp\me_PRNNBca0DsLNRhq
Status: 0xc0000034
File C:\Dokumente und Einstellungen\Sandra\Lokale Einstellungen\Temp\me_dyyqeNGPURpsq99 not found!
Deletion of file C:\Dokumente und Einstellungen\Sandra\Lokale Einstellungen\Temp\me_dyyqeNGPURpsq99 failed!
Could not process line:
C:\Dokumente und Einstellungen\Sandra\Lokale Einstellungen\Temp\me_dyyqeNGPURpsq99
Status: 0xc0000034
File C:\Dokumente und Einstellungen\Sandra\Lokale Einstellungen\Temp\me_IegF5f8VzqnbQtc not found!
Deletion of file C:\Dokumente und Einstellungen\Sandra\Lokale Einstellungen\Temp\me_IegF5f8VzqnbQtc failed!
Could not process line:
C:\Dokumente und Einstellungen\Sandra\Lokale Einstellungen\Temp\me_IegF5f8VzqnbQtc
Status: 0xc0000034
File C:\WINDOWS\System32\pmnqguh.dll not found!
Deletion of file C:\WINDOWS\System32\pmnqguh.dll failed!
Could not process line:
C:\WINDOWS\System32\pmnqguh.dll
Status: 0xc0000034
File C:\WINDOWS\System32\nslookup.dll not found!
Deletion of file C:\WINDOWS\System32\nslookup.dll failed!
Could not process line:
C:\WINDOWS\System32\nslookup.dll
Status: 0xc0000034
Completed script processing.
*******************
Finished! Terminate.
Listen.bat-Log
Datentr„ger in Laufwerk C: ist C
Volumeseriennummer: D4E6-7AA2
Verzeichnis von C:\WINDOWS\system32\components
04.08.2006 18:39 <DIR> .
04.08.2006 18:39 <DIR> ..
0 Datei(en) 0 Bytes
2 Verzeichnis(se), 8.175.534.080 Bytes frei
Datentr„ger in Laufwerk C: ist C
Volumeseriennummer: D4E6-7AA2
Verzeichnis von C:\WINDOWS\Downloaded Program Files
08.12.2003 14:58 3.759 swflash.inf
03.08.2004 15:51 293 wuweb.inf
2 Datei(en) 4.052 Bytes
0 Verzeichnis(se), 8.175.534.080 Bytes frei
Datentr„ger in Laufwerk C: ist C
Volumeseriennummer: D4E6-7AA2
Verzeichnis von C:\Programme\Common Files
12.12.2005 17:37 <DIR> .
12.12.2005 17:37 <DIR> ..
12.12.2005 17:37 <DIR> Micros~1
07.09.2004 17:50 <DIR> System
0 Datei(en) 0 Bytes
4 Verzeichnis(se), 8.175.534.080 Bytes frei
Datentr„ger in Laufwerk C: ist C
Volumeseriennummer: D4E6-7AA2
Verzeichnis von C:\Program Files
04.08.2006 18:49 <DIR> .
04.08.2006 18:49 <DIR> ..
22.08.2004 12:57 <DIR> InterActual
0 Datei(en) 0 Bytes
3 Verzeichnis(se), 8.175.534.080 Bytes frei
Datentr„ger in Laufwerk C: ist C
Volumeseriennummer: D4E6-7AA2
Verzeichnis von C:\Dokumente und Einstellungen\Sandra\Lokale Einstellungen\Temp
04.08.2006 18:52 <DIR> .
04.08.2006 18:52 <DIR> ..
31.07.2006 19:45 <DIR> CTJBNS
04.08.2006 18:50 1.287 jusched.log
04.08.2006 18:46 <DIR> msohtml1
04.08.2006 18:42 <DIR> Urrs
02.08.2006 18:22 <DIR> VBE
31.07.2006 20:31 16.384 ~DF402.tmp
02.08.2006 18:18 16.384 ~DFB2DE.tmp
04.08.2006 18:50 16.384 ~DFB620.tmp
02.08.2006 11:43 16.384 ~DFC903.tmp
02.08.2006 11:14 16.384 ~DFE08E.tmp
01.08.2006 10:26 16.384 ~DFE7F9.tmp
04.08.2006 17:49 16.384 ~DFF20A.tmp
31.07.2006 19:45 16.384 ~DFF933.tmp
04.08.2006 18:42 16.384 ~DFFA00.tmp
10 Datei(en) 148.743 Bytes
6 Verzeichnis(se), 8.175.534.080 Bytes frei
Datentr„ger in Laufwerk C: ist C
Volumeseriennummer: D4E6-7AA2
Verzeichnis von C:\WINDOWS\Temp
04.08.2006 18:50 <DIR> .
04.08.2006 18:50 <DIR> ..
04.08.2006 18:50 0 ZLT04e94.TMP
1 Datei(en) 0 Bytes
2 Verzeichnis(se), 8.175.529.984 Bytes frei
Datentr„ger in Laufwerk C: ist C
Volumeseriennummer: D4E6-7AA2
Verzeichnis von C:\
Datentr„ger in Laufwerk C: ist C
Volumeseriennummer: D4E6-7AA2
Verzeichnis von C:\Programme
31.07.2006 19:02 <DIR> .
31.07.2006 19:02 <DIR> ..
16.11.2003 13:22 <DIR> 0190 Warner
11.02.2006 17:00 <DIR> 3DO
22.07.2006 17:59 <DIR> a-squared
09.01.2004 19:27 <DIR> Activision
10.04.2006 16:27 <DIR> Adobe
12.12.2003 21:13 <DIR> Adobe(2)
24.02.2005 18:11 <DIR> ahead
27.04.2003 08:45 <DIR> ANNO1602
04.08.2006 18:50 <DIR> Anti-Trojan-55
26.07.2006 17:29 <DIR> AntiVir PersonalEdition Classic
16.11.2003 13:22 <DIR> BEWERBUNGS-MASTER
11.09.2005 09:14 <DIR> CD Bremse
31.07.2006 19:43 <DIR> CleanUp!
21.04.2006 12:04 <DIR> ClonyXXL
12.12.2005 17:37 <DIR> Common Files
20.02.2002 15:31 <DIR> ComPlus Applications
07.11.2002 20:20 <DIR> Corel
25.07.2006 22:17 <DIR> Cowabanga
14.02.2006 20:47 <DIR> Creative
06.03.2005 15:32 <DIR> CyberLink
22.02.2002 21:52 <DIR> Das Telefonbuch f
so, das ICON ist nun weg und im Moment scheint alles ruhig. HIer ist erstmal das Log vom Avenger, das andere editiere ich gleich rein.
Danke an Nikita für die Hilfe!
Gruss
Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\btgrlucu
*******************
Script file located at: \??\C:\Program Files\jotioama.txt
Script file opened successfully.
Script file read successfully
Backups directory opened successfully at C:\Avenger
*******************
Beginning to process script file:
File C:\WINDOWS\system32\ppqss.ini deleted successfully.
File C:\WINDOWS\system32\ixt0.dll not found!
Deletion of file C:\WINDOWS\system32\ixt0.dll failed!
Could not process line:
C:\WINDOWS\system32\ixt0.dll
Status: 0xc0000034
File C:\WINDOWS\system32\issearch.exe not found!
Deletion of file C:\WINDOWS\system32\issearch.exe failed!
Could not process line:
C:\WINDOWS\system32\issearch.exe
Status: 0xc0000034
File C:\WINDOWS\system32\ot.ico not found!
Deletion of file C:\WINDOWS\system32\ot.ico failed!
Could not process line:
C:\WINDOWS\system32\ot.ico
Status: 0xc0000034
File C:\WINDOWS\system32\ts.ico not found!
Deletion of file C:\WINDOWS\system32\ts.ico failed!
Could not process line:
C:\WINDOWS\system32\ts.ico
Status: 0xc0000034
File C:\WINDOWS\system32\isnotify.exe not found!
Deletion of file C:\WINDOWS\system32\isnotify.exe failed!
Could not process line:
C:\WINDOWS\system32\isnotify.exe
Status: 0xc0000034
File C:\WINDOWS\system32\wnstscc.exe deleted successfully.
File C:\WINDOWS\system32\ssqpp.dll deleted successfully.
File C:\WINDOWS\system32\iifeedb.dll deleted successfully.
File C:\Dokumente und Einstellungen\Sandra\Lokale Einstellungen\Temp\me_jKpAnI5vAVXyJK0 not found!
Deletion of file C:\Dokumente und Einstellungen\Sandra\Lokale Einstellungen\Temp\me_jKpAnI5vAVXyJK0 failed!
Could not process line:
C:\Dokumente und Einstellungen\Sandra\Lokale Einstellungen\Temp\me_jKpAnI5vAVXyJK0
Status: 0xc0000034
File C:\Dokumente und Einstellungen\Sandra\Lokale Einstellungen\Temp\me_5qgwednl385MLbA not found!
Deletion of file C:\Dokumente und Einstellungen\Sandra\Lokale Einstellungen\Temp\me_5qgwednl385MLbA failed!
Could not process line:
C:\Dokumente und Einstellungen\Sandra\Lokale Einstellungen\Temp\me_5qgwednl385MLbA
Status: 0xc0000034
File C:\Dokumente und Einstellungen\Sandra\Lokale Einstellungen\Temp\me_PRNNBca0DsLNRhq not found!
Deletion of file C:\Dokumente und Einstellungen\Sandra\Lokale Einstellungen\Temp\me_PRNNBca0DsLNRhq failed!
Could not process line:
C:\Dokumente und Einstellungen\Sandra\Lokale Einstellungen\Temp\me_PRNNBca0DsLNRhq
Status: 0xc0000034
File C:\Dokumente und Einstellungen\Sandra\Lokale Einstellungen\Temp\me_dyyqeNGPURpsq99 not found!
Deletion of file C:\Dokumente und Einstellungen\Sandra\Lokale Einstellungen\Temp\me_dyyqeNGPURpsq99 failed!
Could not process line:
C:\Dokumente und Einstellungen\Sandra\Lokale Einstellungen\Temp\me_dyyqeNGPURpsq99
Status: 0xc0000034
File C:\Dokumente und Einstellungen\Sandra\Lokale Einstellungen\Temp\me_IegF5f8VzqnbQtc not found!
Deletion of file C:\Dokumente und Einstellungen\Sandra\Lokale Einstellungen\Temp\me_IegF5f8VzqnbQtc failed!
Could not process line:
C:\Dokumente und Einstellungen\Sandra\Lokale Einstellungen\Temp\me_IegF5f8VzqnbQtc
Status: 0xc0000034
File C:\WINDOWS\System32\pmnqguh.dll not found!
Deletion of file C:\WINDOWS\System32\pmnqguh.dll failed!
Could not process line:
C:\WINDOWS\System32\pmnqguh.dll
Status: 0xc0000034
File C:\WINDOWS\System32\nslookup.dll not found!
Deletion of file C:\WINDOWS\System32\nslookup.dll failed!
Could not process line:
C:\WINDOWS\System32\nslookup.dll
Status: 0xc0000034
Completed script processing.
*******************
Finished! Terminate.
Listen.bat-Log
Datentr„ger in Laufwerk C: ist C
Volumeseriennummer: D4E6-7AA2
Verzeichnis von C:\WINDOWS\system32\components
04.08.2006 18:39 <DIR> .
04.08.2006 18:39 <DIR> ..
0 Datei(en) 0 Bytes
2 Verzeichnis(se), 8.175.534.080 Bytes frei
Datentr„ger in Laufwerk C: ist C
Volumeseriennummer: D4E6-7AA2
Verzeichnis von C:\WINDOWS\Downloaded Program Files
08.12.2003 14:58 3.759 swflash.inf
03.08.2004 15:51 293 wuweb.inf
2 Datei(en) 4.052 Bytes
0 Verzeichnis(se), 8.175.534.080 Bytes frei
Datentr„ger in Laufwerk C: ist C
Volumeseriennummer: D4E6-7AA2
Verzeichnis von C:\Programme\Common Files
12.12.2005 17:37 <DIR> .
12.12.2005 17:37 <DIR> ..
12.12.2005 17:37 <DIR> Micros~1
07.09.2004 17:50 <DIR> System
0 Datei(en) 0 Bytes
4 Verzeichnis(se), 8.175.534.080 Bytes frei
Datentr„ger in Laufwerk C: ist C
Volumeseriennummer: D4E6-7AA2
Verzeichnis von C:\Program Files
04.08.2006 18:49 <DIR> .
04.08.2006 18:49 <DIR> ..
22.08.2004 12:57 <DIR> InterActual
0 Datei(en) 0 Bytes
3 Verzeichnis(se), 8.175.534.080 Bytes frei
Datentr„ger in Laufwerk C: ist C
Volumeseriennummer: D4E6-7AA2
Verzeichnis von C:\Dokumente und Einstellungen\Sandra\Lokale Einstellungen\Temp
04.08.2006 18:52 <DIR> .
04.08.2006 18:52 <DIR> ..
31.07.2006 19:45 <DIR> CTJBNS
04.08.2006 18:50 1.287 jusched.log
04.08.2006 18:46 <DIR> msohtml1
04.08.2006 18:42 <DIR> Urrs
02.08.2006 18:22 <DIR> VBE
31.07.2006 20:31 16.384 ~DF402.tmp
02.08.2006 18:18 16.384 ~DFB2DE.tmp
04.08.2006 18:50 16.384 ~DFB620.tmp
02.08.2006 11:43 16.384 ~DFC903.tmp
02.08.2006 11:14 16.384 ~DFE08E.tmp
01.08.2006 10:26 16.384 ~DFE7F9.tmp
04.08.2006 17:49 16.384 ~DFF20A.tmp
31.07.2006 19:45 16.384 ~DFF933.tmp
04.08.2006 18:42 16.384 ~DFFA00.tmp
10 Datei(en) 148.743 Bytes
6 Verzeichnis(se), 8.175.534.080 Bytes frei
Datentr„ger in Laufwerk C: ist C
Volumeseriennummer: D4E6-7AA2
Verzeichnis von C:\WINDOWS\Temp
04.08.2006 18:50 <DIR> .
04.08.2006 18:50 <DIR> ..
04.08.2006 18:50 0 ZLT04e94.TMP
1 Datei(en) 0 Bytes
2 Verzeichnis(se), 8.175.529.984 Bytes frei
Datentr„ger in Laufwerk C: ist C
Volumeseriennummer: D4E6-7AA2
Verzeichnis von C:\
Datentr„ger in Laufwerk C: ist C
Volumeseriennummer: D4E6-7AA2
Verzeichnis von C:\Programme
31.07.2006 19:02 <DIR> .
31.07.2006 19:02 <DIR> ..
16.11.2003 13:22 <DIR> 0190 Warner
11.02.2006 17:00 <DIR> 3DO
22.07.2006 17:59 <DIR> a-squared
09.01.2004 19:27 <DIR> Activision
10.04.2006 16:27 <DIR> Adobe
12.12.2003 21:13 <DIR> Adobe(2)
24.02.2005 18:11 <DIR> ahead
27.04.2003 08:45 <DIR> ANNO1602
04.08.2006 18:50 <DIR> Anti-Trojan-55
26.07.2006 17:29 <DIR> AntiVir PersonalEdition Classic
16.11.2003 13:22 <DIR> BEWERBUNGS-MASTER
11.09.2005 09:14 <DIR> CD Bremse
31.07.2006 19:43 <DIR> CleanUp!
21.04.2006 12:04 <DIR> ClonyXXL
12.12.2005 17:37 <DIR> Common Files
20.02.2002 15:31 <DIR> ComPlus Applications
07.11.2002 20:20 <DIR> Corel
25.07.2006 22:17 <DIR> Cowabanga
14.02.2006 20:47 <DIR> Creative
06.03.2005 15:32 <DIR> CyberLink
22.02.2002 21:52 <DIR> Das Telefonbuch f
- Marneus
- Beiträge: 2
- Registriert: 31.07.2006, 20:03
von Nikita am 07.08.2006, 00:18
++
C:\Dokumente und Einstellungen\Sandra\Eigene Dateien\
22.07.2006 16:59 <DIR> ?dobe -> loeschen
++
C:\Dokumente und Einstellungen\Sandra\Anwendungsdaten\
26.07.2006 17:49 <DIR> F?nts > loeschen
das ist der purityscan
Beispiel:
++
C:\WINDOWS\system32\components -> loeschen
++
deinstallieren - loeschen
C:\Programme
25.07.2006 22:17 <DIR> Cowabanga
---------------------------------------------------------------------
sanne mit ewido und poste den report vom scan
http://virus-protect.org/ewido.html
C:\Dokumente und Einstellungen\Sandra\Eigene Dateien\
22.07.2006 16:59 <DIR> ?dobe -> loeschen
++
C:\Dokumente und Einstellungen\Sandra\Anwendungsdaten\
26.07.2006 17:49 <DIR> F?nts > loeschen
das ist der purityscan
Beispiel:
++
C:\WINDOWS\system32\components -> loeschen
++
deinstallieren - loeschen
C:\Programme
25.07.2006 22:17 <DIR> Cowabanga
---------------------------------------------------------------------
sanne mit ewido und poste den report vom scan
http://virus-protect.org/ewido.html
- Nikita
- Moderator
- Beiträge: 11478
- Registriert: 07.12.2003, 16:53
- Wohnort: Lissabon
4 Beiträge • Seite 1 von 1
Zurück zu Online- und PC-Sicherheit
Wer ist online?
Mitglieder in diesem Forum: 0 Mitglieder und 0 Gäste