VIRUS Security Update

von **King ali** am 28.08.2006, 14:24

Ich habe alles ausprobiert Antivirus,Adware,Spybot
Werbe virus bigdispatch,Security Update amaena immer wieder
kommt es.Es hängt wenn ich windows Starte

Und ich kann nur im Abgesicherten Modus rein Bekomme Fehlermeldung

Beim Ausführen von C:\WINDOWS\system32\dqnhuppo.dll``,Dll Get version´´íst eine Ausnahme getreten
..ahrode.dll

Logfile of HijackThis v1.99.1
Scan saved at 14:11:51, on 28.08.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Microsoft Office\Office10\WINWORD.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\ntvdm.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Adobe\Acrobat 7.0\Reader\AcroRd32.exe
C:\Programme\Spybot - Search & Destroy\SpybotSD.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Dokumente und Einstellungen\Merve.VOBIS-XJTJ9T8E8\Desktop\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://
O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\MSN Apps\MSN Toolbar\01.02.5000.1021\de\msntb.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn0\yt.dll
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [WeatherSpy] C:\Dokumente und Einstellungen\Merve.VOBIS-XJTJ9T8E8\Desktop\Downloads\WeatherSpy\WeatherSpy.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [zzzHPSETUP] D:\Setup.exe
O4 - HKLM\..\Run: [tcactive] C:\Programme\The Cleaner\tca.exe
O4 - HKLM\..\Run: [tcmonitor] C:\Programme\The Cleaner\tcm.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [TuneUp MemOptimizer] "C:\Programme\TuneUp Utilities 2006\MemOptimizer.exe" autostart
O4 - HKCU\..\Run: [Update Service] "C:\Programme\Gemeinsame Dateien\Teknum Systems\update.exe" /startup
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\Office10\EXCEL.EXE/3000
O9 - Extra button: Crawl.ws Toolbar - {01E69986-A054-4C52-ABE8-EF63DF1C5211} - (no file)
O9 - Extra 'Tools' menuitem: Crawl.ws Toolbar - {01E69986-A054-4C52-ABE8-EF63DF1C5211} - (no file)
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_08\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_08\bin\ssv.dll
O9 - Extra button: Subscribe in Desktop Sidebar - {09FE188B-6E85-479e-9411-51FB2220DF80} - C:\Programme\Desktop Sidebar\sbhelp.dll
O9 - Extra 'Tools' menuitem: Subscribe in Desktop Sidebar - {09FE188B-6E85-479e-9411-51FB2220DF80} - C:\Programme\Desktop Sidebar\sbhelp.dll
O9 - Extra button: ShopperReports - Compare travel rates - {946B3E9E-E21A-49c8-9F63-900533FAFE15} - C:\WINDOWS\System32\shdocvw.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: DigiChat Applet -
O16 - DPF: {00000000-0000-0000-0000-000020040000} -
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/Mi ... b31267.cab
O16 - DPF: {30528230-99F7-4BB4-88D8-FA1D4F56A2AB} (YInstStarter Class) - http://us.dl1.yimg.com/download.yahoo.c ... 040510.cab
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} - http://software-dl.real.com/04145c08855 ... 601_de.cab
O16 - DPF: {68459DB3-59C9-449D-815B-65F729385C16} -
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftup ... 3644796437
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/Me ... b31267.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMe ... loader.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/binary/ZI ... b32846.cab
O16 - DPF: {C5E28B9D-0A68-4B50-94E9-E8F6B4697516} (NsvPlayX Control) - http://www.yayindayiz.biz/codec/nsvplayx_vp6_mp3.cab
O16 - DPF: {CAFEEFAC-0015-0000-0006-ABCDEFFEDCBA} (Java Plug-in 1.5.0_06) -
O16 - DPF: {D2982A7F-489A-47F5-A319-FC1F14EBC245} -
O17 - HKLM\System\CCS\Services\Tcpip\..\{B7CBF244-C1ED-4B86-BCD0-794EC57CCCB4}: NameServer = 192.168.2.1
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSN Messenger\msgrapp.dll" (file missing)
O20 - AppInit_DLLs: pushow60.dll
O20 - Winlogon Notify: Internet Settings - C:\WINDOWS\system32\hrj0051me.dll (file missing)
O20 - Winlogon Notify: SMDEn - C:\WINDOWS\system32\p04ulah91d4.dll
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ashampoo Defrag Service (AshampooDefragService) - - C:\Programme\Ashampoo\Ashampoo Magical Defrag\bin\aDefragService.exe
O23 - Service: DirectX Service (DirectService) - Unknown owner - c:\windows\system32\directx.exe (file missing)
O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\SAgent2.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Sunbelt Kerio Personal Firewall 4 (KPF4) - Unknown owner - C:\Programme\Sunbelt Software\Personal Firewall\kpf4ss.exe (file missing)
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2006\WinStylerThemeSvc.exe

von **HeliCell** am 28.08.2006, 14:43

Hey Nikita

Mach hier mal dicht. Da gehts weiter:

:arrow:

... ...beitrag-47144.html ...

MfG, HeliCell

von **Nikita** am 28.08.2006, 15:05

HeliCell
mach hier mal dicht ?? warum ?? da ist der Look2Me und anderes auf dem Rechner.... ein Haxdoor ??

King ali
1.
Look2Me-Destroyer V1.0.5 anwenden
http://virus-protect.org/l2mfix.html

2.
poste das log von Combofix
http://virus-protect.org/artikel/tools/combofix.html

3.
poste das log
http://www.f-secure.com/blacklight/
starte die Datei, nimm die Lizenzbestimmung an und waehle scan, wenn es mit dem Scan fertig ist, druecke next und danach close. Nun befindet sich im selben Ordner von Blacklight eine FSB*.TXT Datei

von **gipsy111** am 28.08.2006, 15:08

@ Nikita

Der Threadhersteller machte einen Doppelpost

http://www.informationsarchiv.net/foren ... 48681.html

von **Nikita** am 28.08.2006, 15:13

Doppelpost...das faengt ja gut an, mal sehen....

von **HeliCell** am 28.08.2006, 15:15

Boah toll... jetzt habe ich hier ne halbe Stunde an nem Fix gearbeitet jetzt besteht das Topic nicht mehr

von **King ali** am 28.08.2006, 17:56

Das hat nicht viel geholfen wer kann mir helfen ich wär dankbar

von **gipsy111** am 28.08.2006, 18:00

Du muss die Ergebnisse hier posten, dann beginnt die Reinigung :wink:

von **Nikita** am 28.08.2006, 21:23

HeliCell

Sorry, da war ich zu schnell...............

King ali

vielleicht bequemst du dich und postest die logs, um die ich gebeten habe, wenn du nicht alles ausfuehrst, was ich schreibe, dann kann ich dir nicht weiter helfen.

von **King ali** am 29.08.2006, 13:04

Ich kann in Abgesichertes Modus rein und wenn ich combo fix Starte Dann verschwindet alles und steht Look2Me ????

Und Log files steht nirgends wo

von **Nikita** am 29.08.2006, 13:07

also noch mal in Scheibchen:

Look2Me-Destroyer V1.0.5 anwenden
http://virus-protect.org/l2mfix.html

poste den report

dann wende noch mal combofix an und kopiere ab, was im Log erscheint

von **King ali** am 29.08.2006, 14:33

Es geht nicht wenn ich in abgesicherten modus starte

von **Nikita** am 29.08.2006, 14:42

dann wende es im Normalmodus an...........

von **King ali** am 29.08.2006, 17:50

Es hängt irgend wie.Ich instaliere Windows Sp1,Sp2 Neu

von **Nikita** am 29.08.2006, 21:46

du formatierst ??? sehr vernuenftig... poste dann das neue log vom HijackThis, wenn alles neu gemacht ist