Entfernen der folgenden Spyware?!

Luniz · 01.01.2006, 23:47

Hi mein anti viren programm (virobot expert 4.0)
findet bei mir ständig spware verseuchte reg einträge!

HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\slotchbar.com
-KCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\ysbweb.com
- HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\xxxtoolbar.com
-HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\searchmiracle.com
HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\blazefind.com

diese erscheinen nach manuellem löschen ständig wieder!!!
bitte um hilfe
Tobi

p.s.:
escan wurde bereits durchgeführt und entsprechende viren mit killbox beseitigt,
abgesehen von fehlern erkennt er nun nichts mehr an viren!!
die spywares werden aber immer wieder aufs neue von meinem anti viren prog erkannt und sind auch in der registry auffindbar!!

Luniz · 03.01.2006, 11:39

escan,cw shredder,ad aware und spybot haben nichts bewirkt!!
die spywares werden immer wieder aufs neue von meinem anti viren prog erkannt und sind auch in der registry auffindbar!!

hoerni26 · 03.01.2006, 11:40

hallo,

bitte poste ein HJT logfile..

Luniz · 03.01.2006, 16:50

ok
hier die log:

Code:

ATTFilter

Logfile of HijackThis v1.99.1
Scan saved at 16:52:32, on 03.01.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\cisvc.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\ViRobotXP\vrmonsvc.exe
C:\Programme\ViRobotXP\Vrres.exe
C:\Programme\ViRobotXP\vrmonnt.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\cidaemon.exe
C:\Programme\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O4 - HKLM\..\Run: [VrSchedule] C:\Programme\ViRobotXP\Vrres.exe
O4 - HKLM\..\Run: [UserFaultCheck] %systemroot%\system32\dumprep 0 -u
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\system32\PSDrvCheck.exe
O4 - HKLM\..\Run: [VrMon] C:\Programme\ViRobotXP\vrmonnt.exe Main
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [VrBootScan] C:\Programme\ViRobotXP\VRBScan.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - Global Startup: Microsoft Office.lnk = E:\Microsoft Office\Office10\OSA.EXE
O20 - Winlogon Notify: WRNotifier - C:\WINDOWS\SYSTEM32\WRLogonNTF.dll
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: PsShutdown (PsShutdownSvc) - Systems Internals - C:\WINDOWS\System32\PSSDNSVC.EXE
O23 - Service: ViRobot Expert Monitoring (vrmonsvc) - HAURI - C:\Programme\ViRobotXP\vrmonsvc.exe

virobot expert von hauri ist meinen anti viren prog.

Luniz · 05.01.2006, 00:27

hier noch die löog von solentrunners:

Code:

ATTFilter

"Silent Runners.vbs", revision 41, http://www.silentrunners.org/
Operating System: Windows XP SP2
Output limited to non-default values, except where indicated by "{++}"


Startup items buried in registry:
---------------------------------

HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++}
"SpybotSD TeaTimer" = "C:\Programme\Spybot - Search & Destroy\TeaTimer.exe" ["Safer Networking Limited"]
"CTFMON.EXE" = "C:\WINDOWS\system32\ctfmon.exe" [MS]

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++}
"VrSchedule" = "C:\Programme\ViRobotXP\Vrres.exe" ["(C)HAURI"]
"UserFaultCheck" = "C:\WINDOWS\system32\dumprep 0 -u" [MS]
"PinnacleDriverCheck" = "C:\WINDOWS\system32\PSDrvCheck.exe" [empty string]
"VrMon" = "C:\Programme\ViRobotXP\vrmonnt.exe Main" ["HAURI"]
"SystemTray" = "SysTray.Exe" [MS]
"NeroFilterCheck" = "C:\WINDOWS\system32\NeroCheck.exe" ["Ahead Software Gmbh"]
"VrBootScan" = "C:\Programme\ViRobotXP\VRBScan.exe" [empty string]

HKLM\Software\Microsoft\Active Setup\Installed Components\
>{881dd1c5-3dcf-431b-b061-f3f88e8be88a}\(Default) = "Outlook Express"
                                        \StubPath   = "C:\WINDOWS\system32\shmgrate.exe OCInstallUserConfigOE" [MS]

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\
{53707962-6F74-2D53-2644-206D7942484F}\(Default) = (no title provided)
  -> {CLSID}\InProcServer32\(Default) = "C:\PROGRA~1\SPYBOT~1\SDHelper.dll" ["Safer Networking Limited"]

HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\
"{42071714-76d4-11d1-8b24-00a0c9068ff3}" = "CPL-Erweiterung für Anzeigeverschiebung"
  -> {CLSID}\InProcServer32\(Default) = "deskpan.dll" [file not found]
"{88895560-9AA2-1069-930E-00AA0030EBC8}" = "Erweiterung für HyperTerminal-Icons"
  -> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\System32\hticons.dll" ["Hilgraeve, Inc."]
"{B41DB860-8EE4-11D2-9906-E49FADC173CA}" = "WinRAR shell extension"
  -> {CLSID}\InProcServer32\(Default) = "e:\WinRAR\rarext.dll" [null data]
"{640167b4-59b0-47a6-b335-a6b3c0695aea}" = "Portable Media Devices"
  -> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\System32\Audiodev.dll" [MS]
"{cc86590a-b60a-48e6-996b-41d25ed39a1e}" = "Portable Media Devices Menu"
  -> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\System32\Audiodev.dll" [MS]
"{0006F045-0000-0000-C000-000000000046}" = "Microsoft Outlook Custom Icon Handler"
  -> {CLSID}\InProcServer32\(Default) = "E:\Microsoft Office\Office10\OLKFSTUB.DLL" [MS]
"{42042206-2D85-11D3-8CFF-005004838597}" = "Microsoft Office HTML Icon Handler"
  -> {CLSID}\InProcServer32\(Default) = "E:\Microsoft Office\Office10\msohev.dll" [MS]
"{ED65AB21-B24F-11d3-BA80-00C0CA16AA37}" = "Mobile"
  -> {CLSID}\InProcServer32\(Default) = "e:\Siemens AG\Data Exchange Software\DESShellExt.dll" ["Siemens AG"]
"{ED65AB22-B24F-11d3-BA80-00C0CA16AA37}" = "Mobile ContextMenuHandler"
  -> {CLSID}\InProcServer32\(Default) = "e:\Siemens AG\Data Exchange Software\DESShellExt.dll" ["Siemens AG"]
"{ED65AB23-B24F-11d3-BA80-00C0CA16AA37}" = "Mobile PropertySheetHandler"
  -> {CLSID}\InProcServer32\(Default) = "e:\Siemens AG\Data Exchange Software\DESShellExt.dll" ["Siemens AG"]
"{170C6CC2-9FB2-42e1-9184-5336C51EBE6D}" = "ViRobot Expert Ver 4.0"
  -> {CLSID}\InProcServer32\(Default) = "C:\Programme\ViRobotXP\VShExt.dll" ["HAURI"]
"{21569614-B795-46b1-85F4-E737A8DC09AD}" = "Shell Search Band"
  -> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\system32\browseui.dll" [MS]
"{B327765E-D724-4347-8B16-78AE18552FC3}" = "NeroDigitalIconHandler"
  -> {CLSID}\InProcServer32\(Default) = "C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroDigitalExt.dll" ["Nero AG"]
"{7F1CF152-04F8-453A-B34C-E609530A9DC8}" = "NeroDigitalPropSheetHandler"
  -> {CLSID}\InProcServer32\(Default) = "C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroDigitalExt.dll" ["Nero AG"]

HKLM\System\CurrentControlSet\Control\Session Manager\
INFECTION WARNING! "BootExecute" = "autocheck autochk * SsiEfr.e" [file not found], [MS], [file not found], [file not found]

HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\
INFECTION WARNING! AtiExtEvent\DLLName = "Ati2evxx.dll" ["ATI Technologies Inc."]
INFECTION WARNING! WRNotifier\DLLName = "WRLogonNTF.dll" ["Webroot Software, Inc."]

HKLM\Software\Classes\*\shellex\ContextMenuHandlers\
ViRobot Expert\(Default) = "{734028e4-d909-4130-92ed-74f1d8e0b9dc}"
  -> {CLSID}\InProcServer32\(Default) = "C:\Programme\ViRobotXP\vrshex.dll" ["(C) HAURI"]
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
  -> {CLSID}\InProcServer32\(Default) = "e:\WinRAR\rarext.dll" [null data]

HKLM\Software\Classes\Directory\shellex\ContextMenuHandlers\
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
  -> {CLSID}\InProcServer32\(Default) = "e:\WinRAR\rarext.dll" [null data]

HKLM\Software\Classes\Folder\shellex\ContextMenuHandlers\
ViRobot Expert\(Default) = "{734028e4-d909-4130-92ed-74f1d8e0b9dc}"
  -> {CLSID}\InProcServer32\(Default) = "C:\Programme\ViRobotXP\vrshex.dll" ["(C) HAURI"]
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
  -> {CLSID}\InProcServer32\(Default) = "e:\WinRAR\rarext.dll" [null data]


Active Desktop and Wallpaper:
-----------------------------

Active Desktop is enabled at this entry:
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellState

Active Desktop web content:

HKCU\Software\Microsoft\Internet Explorer\Desktop\Components\0\
"FriendlyName" = ""
"Source" = "file:///C:/DOKUME~1/PC03/LOKALE~1/Temp/msohtml1/01/clip_image001.gif"
"SubscribedURL" = "file:///C:/DOKUME~1/PC03/LOKALE~1/Temp/msohtml1/01/clip_image001.gif"


Startup items in "PC03" & "All Users" startup folders:
------------------------------------------------------

C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart
"Microsoft Office" -> shortcut to: "E:\Microsoft Office\Office10\OSA.EXE -b -l" [MS]


Enabled Scheduled Tasks:
------------------------

"XoftSpy" -> launches: "C:\Programme\XoftSpy\XoftSpy.exe -t" [file not found]


Winsock2 Service Provider DLLs:
-------------------------------

Namespace Service Providers

HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\ {++}
000000000001\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]
000000000002\LibraryPath = "%SystemRoot%\System32\winrnr.dll" [MS]
000000000003\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]

Transport Service Providers

HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\ {++}
0000000000##\PackedCatalogItem (contains) DLL [Company Name], (at) ## range:
C:\WINDOWS\system32\dcsws2.dll ["DiamondCS"], 01 - 03
%SystemRoot%\system32\mswsock.dll [MS], 04 - 06, 09 - 24
%SystemRoot%\system32\rsvpsp.dll [MS], 07 - 08


Running Services (Display Name, Service Name, Path {Service DLL}):
------------------------------------------------------------------

Ati HotKey Poller, Ati HotKey Poller, "C:\WINDOWS\System32\Ati2evxx.exe" ["ATI Technologies Inc."]
ViRobot Expert Monitoring, vrmonsvc, "C:\Programme\ViRobotXP\vrmonsvc.exe" ["HAURI"]
Windows User Mode Driver Framework, UMWdf, "C:\WINDOWS\System32\wdfmgr.exe" [MS]


----------
+ This report excludes default entries except where indicated.
+ To see *everywhere* the script checks and *everything* it finds,
  launch it from a command prompt or a shortcut with the -all parameter.
+ The search for DESKTOP.INI DLL launch points on all local fixed drives
  took 53 seconds.
+ The search for all Registry CLSIDs containing dormant Explorer Bars
  took 15 seconds.
---------- (total run time: 86 seconds)

danke für die hilfe
Tobi

Luniz · 12.01.2006, 23:21

hat keiner eine idee!!
bin am verzweifeln

Luniz · 21.01.2006, 00:16

sry ich muss schieben, weil ich keine lösung finde!
angaben sind doch genug oder?

felix1 · 21.01.2006, 00:21

Ich habe eine Idee für Dich:
Poste Dein Log wie alle hier.

Luniz · 21.01.2006, 15:02

danke für diese idee

aber die idee habe ich bereits umgesetzt
hijack log, silent runners log
und falls auch escan log nötig ist
hab ich sie in diesem thread gepostet
http://www.trojaner-board.de/showthread.php?t=25128
meiner meinung nach hilft aber escan nix bei spyware!!

ansonsten wüsste ich ned welche log du meinen könntest

boe · 29.04.2006, 14:08

...ah, noch mehr Betroffene...Wie ich sehe, gibts einige Threads zu ein und demselben Problem der "Zonemaps" ?

Das sind meine Funde unter Zonemaps:

blazefind.com
clickspring.net
flingstone.com
mt-download.com
my-internet.info
searchbarcash.com
searchmiracle.com
skoobidoo.com
slotch.com
slotchbar.com
windupdates.com
xxxtoolbar.com
ysbweb.com

Keiner ne Idee ?

MightyMarc · 29.04.2006, 14:38

Analyse

1. Einträge in der Registry löschen

2. Regmon starten. Folgende Filtereinstellungen:

> Include: Create
> Exclude: regmon.exe; explorer.exe
> Highlight: Zonemap
> Alle Häckchen setzen

Nun mal beobachten, welcher Prozess die Einträge neu schreibt (Wahlweise auch mal zuerst Regmon starten und dann erst löschen). Sollte nichts zu sehen sein:

> Options > Log Boot
> Neustart

boe · 29.04.2006, 15:22

Da ich nur Halbwissender bin, bitte ich die Experten mal meinen Lösungsvorschlag ggfs. zu bestätigen:

Wenn ich richtig liege, dann sind die in der Registry unter Zonemaps/Domains eingetragen Seiten die Seiten der IE-Sicherheits-Internetzonen, auch die "bösen" restricted sites. Bei mir hat wohl Spyware-Blaster einen Haufen dieser "Restricted Sites" in die Zonemaps eingetragen. XPclean und PestPatrol haben davon wenige davon fälschlich als Malware erkannt. Die Eintragung in den Zonemaps sollte aber noch keine Bedrohung sein ?

Folgendes habe ich gemacht:

>> Alle "zonemaps" in der Registry gesucht, darunter NUR die "domains"exportiert (zur Sicherheit) und dann NUR die "domains" gelöscht.

Jetzt sind diese domains im Spywareblaster "unprotected".
Sie fehlen jetzt im IE unter "eingeschr. Sites", und werden nicht mehr von XPclean und PestPatrol als Spyware erkannt. Denke, das man diese Meldungen innerhalb der Anti-Spyware-Programme evtl. auch auf "ignorieren" stellen.

Was meint Ihr ?

MightyMarc · 29.04.2006, 15:31

Zitat:

Was meint Ihr ?

http://support.microsoft.com/kb/182569/en-us

boe · 29.04.2006, 16:28

...darfs ein bisschen mehr sein bitte ?

MightyMarc · 29.04.2006, 19:56

Zitat:

Zitat von boe

...darfs ein bisschen mehr sein bitte ?

Ungern. Anhand dieser Werte bzw eines Blickes in die Internetoptionen siehst Du ja welche Seiten wie eingestuft werden.

Code:

ATTFilter

Wert     Einstellung
------------------------------
   0        Arbeitsplatz
   1        Lokales Intranet
   2        Vertrauenswürdige Sites
   3        Internet
   4        Eingeschränkte Sites

Die Fehlfunktion von XPClean und Pestpatrol - und um nichts anderes handelt es sich hierbei - dadurch zu umgehen die Domains wieder aus den restricted Sites zu nehmen ist höherer Blödsinn.
Wenn XPClean und Pestpatrol so sinnfrei irgendwelche Einträge als Spyware markieren, sollte man sich gut überlegen, ob man sie überhaupt verwenden sollte.
Im übrigen sollte ein Programm reichen. Weniger Softwareeinsatz, mehr bewusstes Handeln am Computer ist deutlich effizienter.

21.01.2006, 00:21	#8
felix1 /// Helfer-Team	Entfernen der folgenden Spyware?! Ich habe eine Idee für Dich: Poste Dein Log wie alle hier. __________________ LG Der Felix Keine Hilfe per PN und E-Mail

Entfernen der folgenden Spyware?!

Plagegeister aller Art und deren Bekämpfung: Entfernen der folgenden Spyware?!