|
Log-Analyse und Auswertung: Spy Fighter pro hat sich instaliert und nun Spyware ??Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
17.12.2005, 21:54 | #1 |
| Spy Fighter pro hat sich instaliert und nun Spyware ?? Hallo , bin neu hier und hoffe auf eure Hilfe , bei mir hat sich dieses obengenannte Programm instaliert , und mein AVG Viren Scanner hat gleich Virus angezeigt ...immer wenn ich den IE öffne zeigt er ihn immer wieder an obwohl ich immer delete mache c:\windows\mkfvh.dll Trojan Horse Startpage. Hab ein blaues Desktop mit roter Spyware Infection Ich geb einfach mal das Log File Logfile of HijackThis v1.99.1 Scan saved at 21:19:36, on 17.12.2005 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATI9BE.EXE C:\Programme\Java\jre1.5.0_04\bin\jusched.exe C:\Programme\Microsoft AntiSpyware\gcasServ.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\Messenger\msmsgs.exe C:\Programme\FRITZ!DSL\FritzDsl.exe C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe C:\PROGRA~1\eScan\TRAYSSER.EXE C:\PROGRA~1\eScan\avpm.exe C:\PROGRA~1\eScan\TRAYICOS.EXE C:\WINDOWS\System32\svchost.exe C:\Programme\Microsoft AntiSpyware\gcasDtServ.exe C:\WINDOWS\system32\wscntfy.exe C:\WINDOWS\system32\wuauclt.exe C:\Dokumente und Einstellungen\Eigene Dateien\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\mkfvh.dll/sp.html#71345%everything4find.com R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\mkfvh.dll/sp.html#71345%everything4find.com R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\mkfvh.dll/sp.html#71345%everything4find.com R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\mkfvh.dll/sp.html#71345%everything4find.com R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\mkfvh.dll/sp.html#71345%everything4find.com R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\mkfvh.dll/sp.html#71345%everything4find.com R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\mkfvh.dll/sp.html#71345%everything4find.com R3 - Default URLSearchHook is missing O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: Class - {CD69B914-A3DD-AE9F-F8EB-AF16B2B02E2A} - C:\WINDOWS\system32\crld.dll O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - C:\Programme\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Programme\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP O4 - HKLM\..\Run: [AVG7_EMC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [EPSON Stylus CX3600 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATI9BE.EXE /P26 "EPSON Stylus CX3600 Series" /O6 "USB001" /M "Stylus CX3600" O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_04\bin\jusched.exe O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [gcasServ] "C:\Programme\Microsoft AntiSpyware\gcasServ.exe" O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background O4 - Startup: FRITZ!web DSL.lnk = C:\Programme\FRITZ!DSL\FritzDsl.exe O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O10 - Broken Internet access because of LSP provider 'mwtsp.dll' missing O16 - DPF: {11260943-421B-11D0-8EAC-0000C07D88CF} (iPIX ActiveX Control) - http://www.ipix.com/viewers/ipixx.cab O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204 O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe O23 - Service: eScan Server-Updater (eScan-trayicos) - MicroWorld Technologies Inc. - C:\PROGRA~1\eScan\TRAYSSER.EXE O23 - Service: eScan Monitor Service (KAVMonitorService) - Kaspersky Labs. - C:\PROGRA~1\eScan\avpm.exe hoffe ihr könnt mir helfen... |
17.12.2005, 22:10 | #2 |
| Spy Fighter pro hat sich instaliert und nun Spyware ?? Hi,
__________________das hier bitte mal mit HJT im abgesicherten Modus fixen: R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\mkfvh.dll/sp.html#71345%everything4find.com R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\mkfvh.dll/sp.html#71345%everything4find.com R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\mkfvh.dll/sp.html#71345%everything4find.com R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\mkfvh.dll/sp.html#71345%everything4find.com R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\mkfvh.dll/sp.html#71345%everything4find.com R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\mkfvh.dll/sp.html#71345%everything4find.com R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\mkfvh.dll/sp.html#71345%everything4find.com R3 - Default URLSearchHook is missing O2 - BHO: Class - {CD69B914-A3DD-AE9F-F8EB-AF16B2B02E2A} - C:\WINDOWS\system32\crld.dll Dann die Datei: C:\WINDOWS\system32\crld.dll manuell löschen, neu booten (normal) und ein neues Logfile posten. cacatoa
__________________ |
17.12.2005, 22:36 | #3 |
| Spy Fighter pro hat sich instaliert und nun Spyware ?? Was heißt mit HJT Fixen ??? Sorry kenn mich da nicht mit so aus.....
__________________ |
17.12.2005, 22:51 | #4 |
| Spy Fighter pro hat sich instaliert und nun Spyware ?? Ganz einfach: Nach dem scan mit HiHackThis einen Haken bei den von mir genannten Punkten machen und unten auf "fix checked" clicken. cacatoa
__________________ Der Mensch sollte eine Hundeseele haben |
17.12.2005, 23:19 | #5 |
| Spy Fighter pro hat sich instaliert und nun Spyware ?? Oh man Danke hätte ich mir auch denken können ,..so habe gefixt und die datei manuell gelöscht hmm....log file Logfile of HijackThis v1.99.1 Scan saved at 23:11:48, on 17.12.2005 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATI9BE.EXE C:\Programme\Java\jre1.5.0_04\bin\jusched.exe C:\Programme\Microsoft AntiSpyware\gcasServ.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\Messenger\msmsgs.exe C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe C:\Programme\FRITZ!DSL\FritzDsl.exe C:\Programme\Microsoft AntiSpyware\gcasDtServ.exe C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe C:\PROGRA~1\eScan\TRAYSSER.EXE C:\PROGRA~1\eScan\avpm.exe C:\PROGRA~1\eScan\TRAYICOS.EXE C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\wuauclt.exe C:\WINDOWS\system32\wscntfy.exe C:\WINDOWS\system32\wuauclt.exe C:\Dokumente und Einstellungen\Eigene Dateien\HijackThis.exe O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: Class - {CD69B914-A3DD-AE9F-F8EB-AF16B2B02E2A} - (no file) O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - C:\Programme\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Programme\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP O4 - HKLM\..\Run: [AVG7_EMC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [EPSON Stylus CX3600 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATI9BE.EXE /P26 "EPSON Stylus CX3600 Series" /O6 "USB001" /M "Stylus CX3600" O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_04\bin\jusched.exe O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [gcasServ] "C:\Programme\Microsoft AntiSpyware\gcasServ.exe" O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background O4 - Startup: FRITZ!web DSL.lnk = C:\Programme\FRITZ!DSL\FritzDsl.exe O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O10 - Broken Internet access because of LSP provider 'mwtsp.dll' missing O16 - DPF: {11260943-421B-11D0-8EAC-0000C07D88CF} (iPIX ActiveX Control) - http://www.ipix.com/viewers/ipixx.cab O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204 O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe O23 - Service: eScan Server-Updater (eScan-trayicos) - MicroWorld Technologies Inc. - C:\PROGRA~1\eScan\TRAYSSER.EXE O23 - Service: eScan Monitor Service (KAVMonitorService) - Kaspersky Labs. - C:\PROGRA~1\eScan\avpm.exe Und was muss ich nun machen ???? PS : Hey super also die Startseite geht schon mal wieder die ich eingebe ..und den Virus zeigt er auch nicht mehr an .freu ...bloß der Desktop ist noch blau mit der Meldung....??? Geändert von ESP (17.12.2005 um 23:27 Uhr) |
17.12.2005, 23:41 | #6 |
| Spy Fighter pro hat sich instaliert und nun Spyware ?? So, geh mal vor, wie in diesem thread beschrieben. Wenn ich mich heute nicht mehr melde, so liegt es daran, daß ich jetzt dann ins Bett gehe. Bin dann aber morgen wieder da, o.k.? cacatoa
__________________ --> Spy Fighter pro hat sich instaliert und nun Spyware ?? |
18.12.2005, 11:54 | #7 |
| Spy Fighter pro hat sich instaliert und nun Spyware ?? Hallo , danke für den Tipp... habe das jetzt mal in den anderen Thread reinkopiert ,weiß aber nicht was ich dort löschen muss???Weißt du es vieleicht ??? |
18.12.2005, 11:57 | #8 |
| Spy Fighter pro hat sich instaliert und nun Spyware ?? HI, das hätte hier reingehört; aber paßt schon. Lade Dir mal Spybot S&D 1.4 runter, update es nach der Installation nochmal manuell und lasse es im abgesicherten Modus bei deaktivierter Systemwiederherstellung laufen. cacatoa
__________________ Der Mensch sollte eine Hundeseele haben |
18.12.2005, 12:06 | #9 |
| Spy Fighter pro hat sich instaliert und nun Spyware ?? Wie oder wo Deaktivier ich den die Systemwiederherstellung ....??? |
18.12.2005, 12:40 | #11 | ||
| Spy Fighter pro hat sich instaliert und nun Spyware ??Zitat:
Zitat:
Geändert von ESP (18.12.2005 um 12:46 Uhr) |
18.12.2005, 13:39 | #13 |
| Spy Fighter pro hat sich instaliert und nun Spyware ?? Pui das nimmt kein Ende Adware:adware/spysheriff Nicht desinfiziert Windows-Registry Adware:Adware/SpySheriff Nicht desinfiziert C:\Dokumente und Einstellungen\Lokale Einstellungen\Temp\4.tmp.exe.mwt Hacktool:HackTool/EvID4226 Nicht desinfiziert C:\Programme\EvID4226Patch.exe Dialer Dialer.DNA Nicht desinfiziert C:\Programme\Microsoft AntiSpyware\Quarantine\8871C19D-79BE-4FA8-8097-C0B077\164EA61A-F239-4F70-A576-8A7241 Adware:Adware/SpySheriff Nicht desinfiziert C:\Programme\Microsoft AntiSpyware\Quarantine\8871C19D-79BE-4FA8-8097-C0B077\625D4963-F7C7-4DFA-9105-464B0F Ich habe jetzt nur den Arbeitsplatz gescannt.... |
18.12.2005, 13:56 | #14 | |
| Spy Fighter pro hat sich instaliert und nun Spyware ?? Hallo, das sind nur noch Reste, lösche mal mit Cleanup! deine Temp Dateien, und leere den Quarantäneordner von MS Antispy (k.A. wo genau das geht, ich benutze das Programm nicht). Wo jetzt genau Panda noch einen Registrykey von Spysheriff findet sagt er leider nicht, kann zur Not auch so gelassen werden, da von einem verwaisten Regkey an sich keine Gefahr ausgeht. Du kannst aber auch noch mal mit Ewido scannen, gut möglich das der ihn findet und beseitigt. Zitat:
Grüße Wildone |
19.12.2005, 03:04 | #15 |
| Spy Fighter pro hat sich instaliert und nun Spyware ?? Also , habe mit beiden Programmen noch mal dein Rat befolgt ,,aber Panda zeigt es immer noch so an..hmmm ??? Und Microsoft Antispyware hatte auch nichts mehr in der Quarantäne...habe nur die Details vom letzten Scan... Spyware Scan Details Start Date: 16.12.2005 10:07:28 End Date: 16.12.2005 10:14:03 Total Time: 6 mins 35 secs Detected Threats Spyware.Startup.Tmp Spyware more information... Status: Removed High threat - High-risk items have a large potential for harm, such as loss of computer control, and should be removed unless knowingly installed. Infected files detected c:\Dokumente und Einstellungen\Lokale Einstellungen\Temp\4.tmp. Infected registry keys/values detected HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run 4.tmp HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run 5.tmp SpySheriff Potentially Unwanted Software more information... Details: SpySheriff is known to be installed through webpages exploiting known vulnerabilities. It scans system for possible spyware infection and prompts user to register in order to clean the system. Status: Removed High threat - High-risk items have a large potential for harm, such as loss of computer control, and should be removed unless knowingly installed. Infected files detected C:\Program Files\SpySheriff\heur000.dll C:\Program Files\SpySheriff\heur001.dll C:\Program Files\SpySheriff\heur002.dll C:\Program Files\SpySheriff\heur003.dll C:\Program Files\SpySheriff\IESecurity.dll C:\Program Files\SpySheriff\ProcMon.dll C:\Program Files\SpySheriff\Uninstall.exe Detected Spyware Cookies No spyware cookies were found during this scan. Aber jetzt findet M . Anti spyware auch nichts mehr.. |
Themen zu Spy Fighter pro hat sich instaliert und nun Spyware ?? |
adobe reader, avg, bho, desktop, drivers, dsl, einstellungen, hijack, hijackthis, immer wieder, internet, internet explorer, kaspersky, log file, monitor, programm, scan, server, software, spyware, system, trojan, urlsearchhook, usb, viren, virus, windows, windows xp |