Wolfsblut

1.
smitfraudfix
http://www.trojaner-board.de/81949-r...tfraudfix.html
poste dann den scanreport von Option 1 und 2

2.
Superantispyware
http://virus-protect.org/artikel/too...tispyware.html

scanne und poste den scanreport

1.
smitfraudfix
http://virus-protect.org/artikel/too...tfrautfix.html
poste dann den scanreport von Option 1 und 2

Nr. 1. hab ich gemacht, die startseite is endlich weg! scanreport von otion 1 hab ich leider nicht gespeichert. hier der 2te

SmitFraudFix v2.31

Scan done at 20:34:16,45, 18.04.2006
Run from D:\Eigene Dateien\Download\Programme\Ad-Aware\SmitfraudFix
OS: Microsoft Windows XP [Version 5.1.2600]

»»»»»»»»»»»»»»»»»»»»»»»» Killing process


»»»»»»»»»»»»»»»»»»»»»»»» Deleting infected files

C:\WINDOWS\system32\hp????.tmp Deleted
C:\WINDOWS\system32\interf.tlb Deleted
C:\WINDOWS\system32\ncompat.tlb Deleted
C:\Programme\Security Toolbar\ Deleted

»»»»»»»»»»»»»»»»»»»»»»»» Deleting Temp Files


»»»»»»»»»»»»»»»»»»»»»»»» Registry Cleaning

Registry Cleaning not selected.

»»»»»»»»»»»»»»»»»»»»»»»» End

es kamm aber nur (registry cleaning---->Do you want to clean the registry? (y/n))die frage, die hab ich aber mit 'n' beantwortet (war mir zu riskant )

danke nochmal

Hallo, kann mir jemand helfen!!!!
Und zwar zeigt mein PC nach dem Hochfahren an "Your Computer is infected". Dann offnet sich das Programm Spyware Quake 2.1 und das listet mir dann die angeblich Fehlerhaften Datein auf. Nun soll ich einen Key eingeben oder die Software bestellen. Nach circa einer Minute geht dann garnichts mehr. Ich bin total verzweifelt da ich den PC dringend brauche. Vielleicht kann mir ja jemand weiter helfen...

Zitat:

Zitat von rektor

Hallo, kann mir jemand helfen!!!!
Und zwar zeigt mein PC nach dem Hochfahren an "Your Computer is infected". Dann offnet sich das Programm Spyware Quake 2.1 und das listet mir dann die angeblich Fehlerhaften Datein auf. Nun soll ich einen Key eingeben oder die Software bestellen. Nach circa einer Minute geht dann garnichts mehr. Ich bin total verzweifelt da ich den PC dringend brauche. Vielleicht kann mir ja jemand weiter helfen...

1.
stelle den CleanUp genauso ein, wie hier angegeben:
http://virus-protect.org/cleanup.html

2.
Kopiere diese 4 Textdateien. Sie sind nach Datum geordnet. (kopiere nur die letzten 3 Monate ab)
http://virus-protect.org/datfindbat.html

3.
Hijackthis
http://computercops.biz/zx/Merijn/hijackthis.zip
http://virus-protect.org/hjtkurz.html
Lade/entpacke HijackThis in einem Ordner
--> None of the above just start the program --> Save--> Savelog -->es öffnet sich der Editor
nun das KOMPLETTE Log mit rechtem Mausklick abkopieren und ins Forum mit rechtem Mausklick "einfügen"

ja nur is mein Problem das der PC nach ca. einer Minute nicht mehr zu bedienen ist also ich auch keine Internetseite mehr aufrufen kann... um deine Adresse einzugeben...

Zitat:

Zitat von rektor

ja nur is mein Problem das der PC nach ca. einer Minute nicht mehr zu bedienen ist also ich auch keine Internetseite mehr aufrufen kann... um deine Adresse einzugeben...

remove SpywareQuake
http://virus-protect.org/artikel/spyware/spywarequake.html

----------------------------------------------------------------

CleanUp!--> anwenden + PC neustarten
http://www.stevengould.org/downloads/cleanup/CleanUp451.exe

SmitRem2.8
http://noahdfear.geekstogo.com/click%20counter/click.php?id=1

Doppelklick: smitRem.exe -> Klicke: Start --> klicke: ok

Computer in den abgesicherten Modus neustarten (F8 beim Starten drücken).

öffne smitRem folder--> Doppelklick: RunThis.bat
warte, bis der Scan beendet ist (der Bildschirm wird blau werden. das ist normal) suche smitfiles.txt
hier posten

dann sehen wir weiter

hallo sabrina,
danke für deine Bemühungen aber ich hab mir alle wichtigen Datein gesichert und die Festplatte breit gemacht... so gehts natürlich auch (das wollt ich sowieso mal wieder machen)
danke noch ma

Zitat:

Zitat von rektor

hallo sabrina,
danke für deine Bemühungen aber ich hab mir alle wichtigen Datein gesichert und die Festplatte breit gemacht... so gehts natürlich auch (das wollt ich sowieso mal wieder machen)
danke noch ma

Ich habe mir auch Spyware Quake eingefangen und überlege nun auch, meinen Rechner neu aufzusetzen. Nicht, dass ich zu faul wäre, es händisch zu entfernen, doch hatte ich eh seit einiger Zeit vorgehabt, es zu machen.

Meint ihr, dass Spyware Quake 2.1 dadurch getilgt wird?

Hallo,
na klar, wenn du formatierst ist alles weg. Kleine Anleitung die du dir vielleicht noch davor zu Gemüte führen solltest.


Grüße Wildone

Danke, Wildone. Forste ich gerade durch.

Zitat:

Zitat von johnny78

Ich habe mir auch Spyware Quake eingefangen und überlege nun auch, meinen Rechner neu aufzusetzen. Nicht, dass ich zu faul wäre, es händisch zu entfernen, doch hatte ich eh seit einiger Zeit vorgehabt, es zu machen.

Meint ihr, dass Spyware Quake 2.1 dadurch getilgt wird?

man bekommt die Malware geloescht...ohne grosse Probleme...
http://virus-protect.org/artikel/spyware/spywarequake.html

wenn du willst, kannst du hier die Logs von datfindbat posten,...ich suche die Viren raus...
http://virus-protect.org/datfindbat.html

hi habe hier das gleiche problem wie die meisten, rechts unten in der taskleiste kommt immmer wieder ein pop up, was besagt: your pc is infected, ziemlich nervig...also hier ist mal meine hijack analyse...würde mich sehr freuen wenn ihr mir helfen könntet..bitte bitte bitte!!!


Logfile of HijackThis v1.99.1
Scan saved at 09:53:23, on 26.04.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\ewido anti-malware\ewidoctrl.exe
C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Winamp\winampa.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\Programme\Gemeinsame Dateien\Logitech\QCDriver3\LVCOMS.EXE
C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\WINDOWS\system32\ntvdm.exe
C:\T-ONLINE\BSW4\ToDuCAlC.EXE
C:\Programme\mozilla.org\Mozilla\mozilla.exe
C:\DOKUME~1\David\LOKALE~1\Temp\Rar$EX00.500\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://welcome.icq.com/js/ppfile.html?0
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)
O2 - BHO: Nothing - {edbf1bc8-39ab-48eb-a0a9-c75078eb7c8e} - C:\WINDOWS\system32\hp9366.tmp
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [BearShare] "C:\Programme\BearShare\BearShare.exe" /pause
O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\cli.exe" runtime -Delay
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [LVCOMS] C:\Programme\Gemeinsame Dateien\Logitech\QCDriver3\LVCOMS.EXE
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [DAEMON Tools] "C:\Programme\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [Qvuuj] C:\Dokumente und Einstellungen\David\Eigene Dateien\M?crosoft\n?pdb.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll (file missing)
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll (file missing)
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {74CD40EA-EF77-4BAD-808A-B5982DA73F20} (YazzleActiveX Control) - http://yax-download.yazzle.net/YazzleActiveX.cab?refid=1162
O17 - HKLM\System\CCS\Services\Tcpip\..\{182907D5-A867-41ED-A32B-6C26274BC560}: NameServer = 217.237.151.97 217.237.150.33
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O20 - Winlogon Notify: wingfc32 - wingfc32.dll (file missing)
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: ewido security suite control - ewido networks - C:\Programme\ewido anti-malware\ewidoctrl.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe

nun steig ich aber nicht ganz durch wie ich das mit diesen vier logs in datfindbat machen soll...bitte um einen idiotenfreundliche anleitung

O4 - HKCU\..\Run: [Qvuuj] C:\Dokumente und Einstellungen\David\Eigene Dateien\M?crosoft\n?pdb.exe
müsste der übeltäter sein und idiotenfreundlich sin die postings hier immer jedenfalls steige ich klar durch was sabina und co schreibt

Hallo,
@monorail
das ist ein Übeltäter, aber wahrscheinlich nicht *der*. Das wird Purityscan sein, aber da bin ich bei der entfernung nicht so gut und würde mir nochmal Sabinas Entfernungsmethode anschauen.


Grüße Wildone