WinFixer/SpySheriff

Momo-M · 03.06.2006

Hallo,
ich hatte/habe? den netten Virus SpySheriff/WinFixer aufm PC. Ich habe jetzt nach Anraten eines lieben Users diese Page eine Firewall installiert. :1
Ich habe nun schon einige verschiedene Programme durchlaufen lassen um Viren-Reste zu finden (Ad-Aware SE Personal, CCleaner, Spybot - Search & Destroy, AntiVir Guard) die haben jetzt alle nix mehr gefunden.
Zusätzlich hbae ich noch die unreg. Version von Spyware Doctor, der hat mir nun folgende Datei ausgespuckt:
Suchen (grundsätzliche Information):
Suchergebnisse:
Suche starten: 03.06.2006 15:38:26
Suche anhalten: 03.06.2006 15:43:12
durchsuchte Objekte: 58968
gefundene Objekte: 23
gefunden und ignoriert: 0
verwendete Werkzeuge: General Scanner, Process Scanner, LSP Scanner, Startup Scanner, Registry Scanner, Hosts Scanner, Browser Scanner, Browser Activity Scanner, Disk Scanner, ActiveX Scanner

Name der Infizierung Standort Risiko
Tracking Cookie(s) C:\Dokumente und Einstellungen\Administrator\Cookies\administrator@2o7[2].txt Niedrig
Tracking Cookie(s) C:\Dokumente und Einstellungen\Administrator\Cookies\administrator@atwola[1].txt Niedrig
Common Components for Trojans C:\uniq Mittel
Dollarrevenue C:\WINDOWS\keyboard1.dat Hoch
TargetSavers C:\Programme\Gemeinsame Dateien\qrqk\qrqkd\class-barrel Hoch
TargetSavers C:\Programme\Gemeinsame Dateien\qrqk\qrqkd\vocabulary Hoch
VX2.Look2Me C:\System Volume Information\_restore{B917B452-6C1E-44D6-9D72-FCE482AAA054}\RP16\A0001964.dll Hoch
VX2.Look2Me C:\System Volume Information\_restore{B917B452-6C1E-44D6-9D72-FCE482AAA054}\RP16\A0001978.dll Hoch
VX2.Look2Me C:\System Volume Information\_restore{B917B452-6C1E-44D6-9D72-FCE482AAA054}\RP16\A0002995.dll Hoch
Network Monitor C:\System Volume Information\_restore{B917B452-6C1E-44D6-9D72-FCE482AAA054}\RP16\A0002998.vbs Hoch
Trojan.Proxy.Small.BO C:\System Volume Information\_restore{B917B452-6C1E-44D6-9D72-FCE482AAA054}\RP16\A0002999.exe Hoch
VX2.Look2Me C:\System Volume Information\_restore{B917B452-6C1E-44D6-9D72-FCE482AAA054}\RP16\A0003011.dll Hoch
VX2.Look2Me C:\System Volume Information\_restore{B917B452-6C1E-44D6-9D72-FCE482AAA054}\RP16\A0003019.dll Hoch
VX2.Look2Me C:\System Volume Information\_restore{B917B452-6C1E-44D6-9D72-FCE482AAA054}\RP17\A0003049.dll Hoch
VX2.Look2Me C:\System Volume Information\_restore{B917B452-6C1E-44D6-9D72-FCE482AAA054}\RP17\A0003050.dll Hoch
Trojan.Clicker.Small.CC C:\System Volume Information\_restore{B917B452-6C1E-44D6-9D72-FCE482AAA054}\RP17\A0003233.exe Erhöht
Trojan.Clicker.Small.CC C:\System Volume Information\_restore{B917B452-6C1E-44D6-9D72-FCE482AAA054}\RP17\A0003234.exe Erhöht
Trojan.Agent.FG C:\System Volume Information\_restore{B917B452-6C1E-44D6-9D72-FCE482AAA054}\RP17\A0003236.exe Hoch
Trojan.Agent.FG C:\System Volume Information\_restore{B917B452-6C1E-44D6-9D72-FCE482AAA054}\RP17\A0003237.exe Hoch
Trojan.Tofger.CD C:\System Volume Information\_restore{B917B452-6C1E-44D6-9D72-FCE482AAA054}\RP17\A0003239.exe Erhöht
PurityScan C:\System Volume Information\_restore{B917B452-6C1E-44D6-9D72-FCE482AAA054}\RP17\A0003244.exe Hoch
PurityScan C:\System Volume Information\_restore{B917B452-6C1E-44D6-9D72-FCE482AAA054}\RP17\A0003253.exe Hoch
VX2.Look2Me C:\System Volume Information\_restore{B917B452-6C1E-44D6-9D72-FCE482AAA054}\RP17\A0004311.dll Hoch

In das Verzeichnis C:\System Volume Information komme ich nicht rein. Da wird der Zugriff verweigert.
SpyDoctor hat die Viren zwar gefunden aber fürs löschen muss ich bezahlen. Ich weiss nun nicht genau was ich tun soll. Die anderen Programme haben ja nun nix mehr gefunden. Könnt ihr mir vielleicht helfen?
Vielen Dank im vorraus.

Momo

Momo-M · 03.06.2006

Hab grad gesehen das euch die Loglist von Hijack This auch was nützen,ich pack sie einfach nochmal Dazu:

Logfile of HijackThis v1.99.1
Scan saved at 17:37:24, on 03.06.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Sygate\SPF\smc.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\brsvc01a.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\brss01a.exe
C:\Programme\avmwlanstick\WlanNetService.exe
C:\Programme\Norton AntiVirus\navapsvc.exe
C:\Programme\Norton AntiVirus\IWP\NPFMntor.exe
C:\Programme\Spyware Doctor\sdhelp.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\avmwlanstick\wlangui.exe
C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
C:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe
C:\WINDOWS\system32\RunDll32.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Spyware Doctor\swdoctor.exe
C:\WINDOWS\System32\alg.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\PROGRA~1\INCRED~1\bin\IMApp.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\PROGRA~1\MOZILL~1\FIREFOX.EXE
C:\Dokumente und Einstellungen\Administrator\Desktop\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: PCTools Site Guard - {5C8B2A36-3DB1-42A4-A3CB-D426709BBFEB} - C:\PROGRA~1\SPYWAR~1\tools\iesdsg.dll
O2 - BHO: Suchspur - {5D945E9A-DC10-4670-83EB-99DAA616628A} - C:\WINDOWS\system32\Suchspur.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll
O2 - BHO: PCTools Browser Monitor - {B56A7D7D-6927-48C8-A975-17DF180C71AC} - C:\PROGRA~1\SPYWAR~1\tools\iesdpb.dll
O2 - BHO: CNavExtBho Class - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O3 - Toolbar: Yahoo! Toolbar mit Pop-Up-Blocker - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [ccApp] C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
O4 - HKLM\..\Run: [AVMWlanClient] C:\Programme\avmwlanstick\wlangui.exe
O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [Adobe Photo Downloader] C:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\Run: [avgnt] C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [IncrediMail] C:\Programme\IncrediMail\bin\IncMail.exe /c
O4 - HKCU\..\Run: [Spyware Doctor] C:\Programme\Spyware Doctor\swdoctor.exe /Q
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: &Google-Suche - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O8 - Extra context menu item: &Ins Deutsche übersetzen - res://c:\programme\google\GoogleToolbar2.dll/cmwordtrans.html
O8 - Extra context menu item: &Suchen - res://C:\WINDOWS\system32\Suchspur.dll/Suchspur.HTM
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra->Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Spyware Doctor - {2D663D1A-8670-49D9-A1A5-4C56B4E14E84} - C:\PROGRA~1\SPYWAR~1\tools\iesdpb.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra->Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: AVM WLAN Connection Service - AVM Berlin - C:\Programme\avmwlanstick\WlanNetService.exe
O23 - Service: BrSplService (Brother XP spl Service) - brother Industries Ltd - C:\WINDOWS\system32\brsvc01a.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
O23 - Service: Norton AntiVirus Auto-Protect-Dienst (navapsvc) - Symantec Corporation - C:\Programme\Norton AntiVirus\navapsvc.exe
O23 - Service: Norton AntiVirus Firewall Monitor Service (NPFMntor) - Symantec Corporation - C:\Programme\Norton AntiVirus\IWP\NPFMntor.exe
O23 - Service: SAVScan - Symantec Corporation - C:\Programme\Norton AntiVirus\SAVScan.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: PC Tools Spyware Doctor (SDhelper) - PC Tools Research Pty Ltd - C:\Programme\Spyware Doctor\sdhelp.exe
O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - C:\Programme\Sygate\SPF\smc.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
O23 - Service: Symantec Core LC - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp2004\WinStylerThemeSvc.exe

Danke schön! :-*

PCDpan_fee · 03.06.2006

Momo-M schrieb:
In das Verzeichnis C:\System Volume Information komme ich nicht rein. Da wird der Zugriff verweigert.

Systemwiederherstellung mal abschalten und dann wieder einschalten:
http://www.wintotal.de/Tipps/Eintrag.php?TID=170

Was ist Suchspur? ???

Momo-M schrieb:
O2 - BHO: Suchspur - {5D945E9A-DC10-4670-83EB-99DAA616628A} - C:\WINDOWS\system32\Suchspur.dll

O8 - Extra context menu item: &Suchen - res://C:\WINDOWS\system32\Suchspur.dll/Suchspur.HTM

pan_fee

Momo-M · 03.06.2006

Hallo pan_fee,
danke erstmal für deine Antwort.
Habe das mit dem deaktivieren der Systemwiederherstellung gemacht. Leider kann ich trotzdem nicht reingucken in den Ordner System V.Info. aber so wie ich das da gelsen habe ist dann eh alles rausgelöscht oder?
Was das mit der Suchspur ist weiss ich ehrlich geagt auch nicht so genau. Wie kann ich das denn rausfinden? :-\

Lieben Gruß Momo

Momo-M · 03.06.2006

Hab eben nochmal den Spy doctor durchlaufen lassen und jetzt hat er nur noch 4 Infizierungen gefunden *freu*
Leider wollte er mir kein Prokoll zeigen, ich hab die übrig gebliebenen jetzt mal so rausgesucht, ich hoff e das ist ok (die bin auf dem Thema noch so unwissend... hab erst seit 1 Woche wieder Internet, hatte 2 Jahre garkein Internet und nun sowas :'()
Common Components for Trojans C:\uniq Mittel
Dollarrevenue C:\WINDOWS\keyboard1.dat Hoch
TargetSavers C:\Programme\Gemeinsame Dateien\qrqk\qrqkd\class-barrel Hoch
TargetSavers C:\Programme\Gemeinsame Dateien\qrqk\qrqkd\vocabulary Hoch

Hier auch nochmal die neue Logfile von HijackThis

Logfile of HijackThis v1.99.1
Scan saved at 18:50:19, on 03.06.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Sygate\SPF\smc.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\brsvc01a.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\brss01a.exe
C:\Programme\avmwlanstick\WlanNetService.exe
C:\Programme\Norton AntiVirus\navapsvc.exe
C:\Programme\Norton AntiVirus\IWP\NPFMntor.exe
C:\Programme\Spyware Doctor\sdhelp.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\avmwlanstick\wlangui.exe
C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
C:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe
C:\WINDOWS\system32\RunDll32.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Spyware Doctor\swdoctor.exe
C:\WINDOWS\System32\alg.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\PROGRA~1\INCRED~1\bin\IMApp.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\PROGRA~1\MOZILL~1\FIREFOX.EXE
C:\Dokumente und Einstellungen\Administrator\Desktop\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: PCTools Site Guard - {5C8B2A36-3DB1-42A4-A3CB-D426709BBFEB} - C:\PROGRA~1\SPYWAR~1\tools\iesdsg.dll
O2 - BHO: Suchspur - {5D945E9A-DC10-4670-83EB-99DAA616628A} - C:\WINDOWS\system32\Suchspur.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll
O2 - BHO: PCTools Browser Monitor - {B56A7D7D-6927-48C8-A975-17DF180C71AC} - C:\PROGRA~1\SPYWAR~1\tools\iesdpb.dll
O2 - BHO: CNavExtBho Class - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O3 - Toolbar: Yahoo! Toolbar mit Pop-Up-Blocker - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [ccApp] C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
O4 - HKLM\..\Run: [AVMWlanClient] C:\Programme\avmwlanstick\wlangui.exe
O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [Adobe Photo Downloader] C:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\Run: [avgnt] C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [IncrediMail] C:\Programme\IncrediMail\bin\IncMail.exe /c
O4 - HKCU\..\Run: [Spyware Doctor] C:\Programme\Spyware Doctor\swdoctor.exe /Q
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: &Google-Suche - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O8 - Extra context menu item: &Ins Deutsche übersetzen - res://c:\programme\google\GoogleToolbar2.dll/cmwordtrans.html
O8 - Extra context menu item: &Suchen - res://C:\WINDOWS\system32\Suchspur.dll/Suchspur.HTM
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra->Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Spyware Doctor - {2D663D1A-8670-49D9-A1A5-4C56B4E14E84} - C:\PROGRA~1\SPYWAR~1\tools\iesdpb.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra->Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: AVM WLAN Connection Service - AVM Berlin - C:\Programme\avmwlanstick\WlanNetService.exe
O23 - Service: BrSplService (Brother XP spl Service) - brother Industries Ltd - C:\WINDOWS\system32\brsvc01a.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
O23 - Service: Norton AntiVirus Auto-Protect-Dienst (navapsvc) - Symantec Corporation - C:\Programme\Norton AntiVirus\navapsvc.exe
O23 - Service: Norton AntiVirus Firewall Monitor Service (NPFMntor) - Symantec Corporation - C:\Programme\Norton AntiVirus\IWP\NPFMntor.exe
O23 - Service: SAVScan - Symantec Corporation - C:\Programme\Norton AntiVirus\SAVScan.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: PC Tools Spyware Doctor (SDhelper) - PC Tools Research Pty Ltd - C:\Programme\Spyware Doctor\sdhelp.exe
O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - C:\Programme\Sygate\SPF\smc.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
O23 - Service: Symantec Core LC - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp2004\WinStylerThemeSvc.exe

Danke nochmal!

PCDpan_fee · 03.06.2006

Momo-M schrieb:
aber so wie ich das da gelsen habe ist dann eh alles rausgelöscht oder?

genau

Was das mit der Suchspur ist weiss ich ehrlich geagt auch nicht so genau. Wie kann ich das denn rausfinden? :-\

irgendein Such-Tool oder eine Software installiert?
Ansonsten mit HijackThis fixen.

pan_fee

PCDpan_fee · 03.06.2006

Momo-M schrieb:
Common Components for Trojans C:\uniq Mittel
Dollarrevenue C:\WINDOWS\keyboard1.dat Hoch
TargetSavers C:\Programme\Gemeinsame Dateien\qrqk\qrqkd\class-barrel Hoch
TargetSavers C:\Programme\Gemeinsame Dateien\qrqk\qrqkd\vocabulary Hoch

Systemwiederherstellung deaktivieren.
C:\uniq löschen.
C:\WINDOWS\keyboard1.dat löschen.
C:\Programme\Gemeinsame Dateien Ordner qrqk löschen.
Systemsteuerung/Software nachsehen, ob unbekannte Anwendungen vorhanden sind.
Danach Systemwiederherstellung wieder aktivieren.

deine HijackThis Auswertung:
http://www.hijackthis.de/logfiles/cf3687a09ee332109686795990072787.html

pan_fee

Momo-M · 03.06.2006

Hallo PCDpan_fee

die beiden habe ich jetzt gelöscht:
C:\uniq löschen.
C:\WINDOWS\keyboard1.dat löschen.
aber der
C:\Programme\Gemeinsame Dateien Ordner qrqk löschen.
geht nicht.
Ert sagt class barrel kann nicht gelöscht werden die Datei wird von einer anderen Person oder einem anderen Program verwendet.
Bei Systemsteuerung software hab ich nichts gefunden was ich nicht kenne.

Lieben Gruß Momo

PCDpan_fee · 03.06.2006

Momo-M schrieb:
Ert sagt class barrel kann nicht gelöscht werden die Datei wird von einer anderen Person oder einem anderen Program verwendet.

lösche im abgesicherten Modus [F8]

pan_fee

Momo-M · 03.06.2006

Jippie!!!!! Spydoctor hat 0 infizierungen gefunden!!!!!! Ich danke dir ganz doll, PCDpan_fee!!!!!!! :-* :-* :-* :-* :-* :-* :-* :-* :-* :-* :-* :-* :-* :-* :-* :-*

Trispac · 04.06.2006

Ich frage mich immer wieder, wie man sich so einen Mist einfängt ... ???

Momo-M · 04.06.2006

Das weiss ich leider auch nicht so genau.Hatte über ICQ mit jmd gechattet und auf einmal öffnete sich ein Pop-Up Fenster und dann ging es auch schon los. Hatte vorher nur Norton drauf, mittlerweile habe ich ja nun erfahren das man sich da nicht drauf verlassen sollte....
Bin nun auf jedenfall vorsichtiger!

WinFixer/SpySheriff

Momo-M

Momo-M

PCDpan_fee

Momo-M

Momo-M

PCDpan_fee

PCDpan_fee

Momo-M

PCDpan_fee

Momo-M

Trispac

Momo-M

WinFixer/SpySheriff

ANGEBOTE & SPONSOREN

Neueste Themen

Statistik des Forums