Hey!

Ich verzweifel hier mit einem Pop-Up das sich immer in meiner Icon-Liste unten rechts einschleicht:

Da kommt immer ein gelbes Warnzeichen mit einem Ausrufezeichen und der meint "Your system has been infected, please click here for spyware removel..."

Hab jetzt Norten 2005, Kaspersky und a sqared drüberlaufen lassen, hab auch ca 20 Viren gefunden, aber weg is das Ding immer noch nicht!

In meinen Temporary Internet Files kann ich auch ein paar nie löschen, und interessanter Weise vermehren die sich immer. Hier ein paar NAmen:

gateway.dll?Action=poll&SessionID=113907551
gateway.dll?Action=poll&SessionID=210391762 (gleich fünf mal)
gateway.dll?Action=SessionID=210391762

Hat das vielleicht was damit zu tun?

Bin echt kurz davor meinen PC zu plätten, ihr seit meine letzte Hoffnung...

Thx!

Hört sich nach Smitfrauf oder diesem Mist an...poste doch mal so ein Log.

ALso, alles gemacht, hier is das file:

Logfile of HijackThis v1.99.1
Scan saved at 10:20:36, on 18.04.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\ZONELABS\vsmon.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\nvctrl.exe
C:\WINDOWS\system32\mssearchnet.exe
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\AGRSMMSG.exe
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\Programme\Java\j2re1.4.2_01\bin\jusched.exe
C:\PROGRA~1\LAUNCH~1\CPLCL32.EXE
C:\Program Files\Aspire Arcade\PCMService.exe
C:\Programme\CRW\shwicon.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Adobe\Acrobat 7.0\Distillr\Acrotray.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\fpdisp5a.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\2\WPSC3PSW.EXE
C:\Programme by Mecki\D-Tools\daemon.exe
C:\Programme by Mecki\ZoneAlarm\zlclient.exe
C:\PROGRA~3\Nokia\NOKIAP~1\LAUNCH~1.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\MSN Messenger\MsnMsgr.Exe
C:\PROGRA~1\GEMEIN~1\PCSuite\Services\SERVIC~1.EXE
C:\Programme by Mecki\Gmail Notifier\gnotify.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\msiexec.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\MsiExec.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme by Mecki\WinAce\WinAce.exe
C:\DOKUME~1\Mecki\LOKALE~1\Temp\~AceTemp\hijackthis\HijackThis.exe
C:\Programme\Adobe\Acrobat 7.0\Acrobat\acrobat_sl.exe

R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://www.type2find.com/sp2.php
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://global.acer.com
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.type2find.com/sp2.php
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = C:\WINDOWS\about.htm
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=127.0.0.1:80
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = 127.0.0.1:80
R3 - Default URLSearchHook is missing
O2 - BHO: Nothing - {8d83b16e-0de1-452b-ac52-96ec0b34aa4b} - C:\WINDOWS\system32\hpCC79.tmp
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - blank (file missing)
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - blank (file missing)
O4 - HKLM\..\Run: [LaunchApp] Alaunch
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_01\bin\jusched.exe
O4 - HKLM\..\Run: [LManager] C:\PROGRA~1\LAUNCH~1\CPLCL32.EXE
O4 - HKLM\..\Run: [PCMService] "C:\Program Files\Aspire Arcade\PCMService.exe"
O4 - HKLM\..\Run: [ShowIcon_Chander_CRW Series Driver v1.17r019] C:\Programme\CRW\shwicon.exe -t"Chander\CRW Series Driver v1.17r019"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [{0228e555-4f9c-4e35-a3ec-b109a192b4c2}] C:\Programme by Mecki\Gmail Notifier\G001-1.0.25.0\gnotify.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [Acrobat Assistant 7.0] "C:\Programme\Adobe\Acrobat 7.0\Distillr\Acrotray.exe"
O4 - HKLM\..\Run: [WpsRePsw] C:\WINDOWS\System32\spool\DRIVERS\W32X86\2\WpsRePsw.EXE
O4 - HKLM\..\Run: [FinePrint Dispatcher v5] "C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\fpdisp5a.exe" /source=HKLM
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programme by Mecki\D-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme by Mecki\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [PCSuiteTrayApplication] C:\PROGRA~3\Nokia\NOKIAP~1\LAUNCH~1.EXE -onlytray
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - Global Startup: Gmail Notifier.lnk = C:\Programme by Mecki\Gmail Notifier\gnotify.exe
O4 - Global Startup: Adobe Acrobat Speed Launcher.lnk = ?
O8 - Extra context menu item: Convert link target to Adobe PDF - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convert link target to existing PDF - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convert selected links to Adobe PDF - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Convert selected links to existing PDF - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Convert selection to Adobe PDF - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convert selection to existing PDF - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convert to Adobe PDF - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convert to existing PDF - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O20 - Winlogon Notify: winsor32 - winsor32.dll (file missing)
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: kavsvc - Kaspersky Lab - C:\Programme by Mecki\Kaspersky Anti-Virus Personal Pro\kavsvc.exe
O23 - Service: SAVScan - Unknown owner - C:\Programme by Mecki\Norton AntiVirus\SAVScan.exe (file missing)
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZONELABS\vsmon.exe

Danke für die Hilfe!

PS: Grad ging ein neuer Pop-Up auf den ich noch nciht kannte, auch sehr interessant, aber immer die gleiche Intention der Meldung: Ich hab Spyware (wirklich?!?!!?)

Hallo red.meck,

du hast spyaxe und wohl spyquake im System.
Hier eine Anleitung

chaosman

Download Noahdfear's SmitRem fix
http://noahdfear.geekstogo.com/

Für SpyFalcon, download FixSF.reg
http://www.bleepingcomputer.com/files/reg/FixSF.reg

Für SpywareQuake, download FixSQ.zip
http://castlecops.com/zx/flrman1/FixSQ.zip

Download Ewido Antimalware
http://www.ewido.net/en/download/

Tutorial:
-Ewido installieren und updaten / keinen Scan ausführen
-SmitRem entpacken in ein neues Verzeichnis außerhalb von c:
-Für SpyFalcon Doppelklick auf FixSF.reg und dann >YES< Button und dann >OK< Button klicken

Die restliche Entfernung wird im Abgesicherten Modus ausgeführt.

Ergo, neu starten und F8 vor dem Windowsscreen drücken

Nach folgenden Dateien suchen:
C:\Windows\System32\dxmpp.dll
C:\Windows\System32\ginuerep.dll
C:\Windows\System32\stickrep.dll

C:\Program Files\SpyFalcon
C:\Program Files\SpywareQuake

Wenn du sie findest, lösche sie - (manchmal lassen sich keine dieser Dateien finden)

In den Ordneroptionen "Alle Dateien und Ordner anzeigen" aktivieren und nochmals suchen.

Auch wenn du jetzt immer noch keine Dateien gefunden hast, den SmitRem Ordner aufrufen und die RunThis.bat durch Doppelklick starten.

Alle offenen Windowsprogramme müssen jetzt geschlossen sein. Danach erscheint ein DOS-Fenster und dann die Any-Key Taste drücken, um die Entfernung zu starten..

Das Tool fängt jetzt an zu arbeiten, wenn dieser Prozess abgeschlossen ist, erschein im DOS-Fenster der Text:

The Tool has completed

Da die Malware SpyFalcon und SpyQuake viele Dateien über deine Festplatten verteilt, musst du jetzt dein System mit Ewido scannen. ACHTUNG: Dieses kann sehr schnell gehen(<5min) oder aber auch ein paar Stunden dauern, da es von deiner gespeicherten Datenmenge abhängig ist.(leuchtet das "Festplattenaktivitätslicht" sucht das Tool noch....Geduld!!!)

Wenn Ewido fertig mit dem Scannen ist, den Report abspeichern.

Danach den PC neu starten und gegebenenfalls den Desktop neu einrichten.

Gruss

netjargon

P.S.
Fragen können per mail oder hier gestellt werden - Feedback erwünscht!

Zitat:

Zitat von netjargon

... und dann die Any-Key Taste drücken

dartus

netjargon

meiner Meinung nach , ist die Anleitung nicht in Ordnung, da nicht vollstaendig.
Man sollte Spyfalcon und SpywareQuake nicht in einem Thread behandeln.
Dazu kommt, dass es staendig neue dll gibt, also staendig aktualisiert werden muss.

------------------------------------------------------------------

Spyfalcon
http://virus-protect.org/artikel/spyware/spyfalcon.html

SpywareQuake
http://virus-protect.org/artikel/spy...warequake.html

beide Links enthalten auch Anweisungen, wenn der Purityscan vorhanden ist.

---------------------------------------------------------------

Uebersicht: (alle dll enthalten und werden staendig aktualisiert )
http://board.protecus.de/t20820.htm

Zitat:

Dazu kommt, dass es staendig neue dll gibt, also staendig aktualisiert werden muss.

Da hast du sicherlich recht. Es gibt unterschiedliche Wege zur Desinfizierung eines OS. Bis dato habe ich 184 positive Rückbestätigungen und 3 Fehlversuche bestätigt bekommen(meine hp)

@dartus:

I know I got often mindfucked by language switching..

Zitat:

Zitat von netjargon

Da hast du sicherlich recht. Es gibt unterschiedliche Wege zur Desinfizierung eines OS. Bis dato habe ich 184 positive Rückbestätigungen und 3 Fehlversuche bestätigt bekommen(meine hp)

@dartus:

I know I got often mindfucked by language switching..

SpyFalcon (Stand: 29.April)

http://virus-protect.org/artikel/spyware/spyfalcon.html

Zitat:

C:\WINDOWS\system32\1024

Verzeichnis von C:\WINDOWS\system32

25.04.2006 16:03 176.128 twain32.dll --> 176.128 -> neu
02.03.2006 19:43 102.400 ginuerep.dll --> 102.400
19.03.2006 16:16 106.496 ginuerep.dll --> 106.496 (veränderte Grösse)
09.02.2006 16:58 102.400 dxmpp.dll

27.04.2006 15:19 5.012 stdole3.tlb -> neu
27.04.2006 15:17 5.632 simpole.tlb -> neu
25.03.2006 23:01 6.656 interf.tlb
11.02.2006 12:51 5.036 ncompat.tlb
11.02.2006 12:46 5.120 msvol.tlb

28.04.2006 17:48 534 ikhcore.log -> neu
28.04.2006 23:35 0 nmp.log
28.04.2006 22:50 0 _nvidia_xxx_.log

09.02.2006 16:51 21.517 ldBD2D.tmp -> variiert
11.02.2006 12:46 22.016 hp7892.tmp -> variiert

27.04.2006 13:40 9.908 atmclk.exe -> neu
27.04.2006 13:40 16.184 dcomcfg.exe -> neu
27.04.2006 13:39 14.949 regperf.exe -> neu

19.03.2006 16:16 17.176 nvctrl.exe
19.03.2006 16:16 10.184 mssearchnet.exe
08.02.2006 20:23 13.805 mscornet.exe
20/02/2006 02:57 56 dfrgsrv.exe

08.02.2006 20:25 4.286 ts.ico
08.02.2006 20:25 4.286 ot.ico
16.02.2006 07:09 2 stera.job
15.02.2006 22:15 2 stera.log


C:\WINDOWS\Temp\sa2B5.exe
usw. usw..

C:\Dokumente und Einstellungen\Username\Temporary Internet Files\ies2A8.tmp
C:\Dokumente und Einstellungen\Username\Temporary Internet Files\6cm2A7.tmp
C:\Dokumente und Einstellungen\Username\Temporary Internet Files\mjs2A0.tmp
C:\Dokumente und Einstellungen\Username\Temporary Internet Files\4yy28D.tmp
C:\Dokumente und Einstellungen\Username\Temporary Internet Files\hle284.tmp
usw. usw....

+ die Registryeintraege, die ebenfalls immer aktualisiert werden muessen.

+ C:\Programme\Security Toolbar

+ den Purityscan oder Trojandownloader, erkennbar unter dem 020-Eintrag vom HijackThis
O20 - Winlogon Notify: winjtb32 - winjtb32.dll (variiert)
http://virus-protect.org/artikel/spy...urityscan.html

Zitat:

gateway.dll?Action=poll&SessionID=113907551
gateway.dll?Action=poll&SessionID=210391762 (gleich fünf mal)
gateway.dll?Action=SessionID=210391762

Dasselbe "Problem" hab ich auch.. Jedoch scheint mein OS mehr als sauber zu sein. Weder KAV, escan, Stinger, Ad Aware oder SD finden auch nur das geringste.

Fakt ist, das diese Einträge mit dem MSN Messenger zusammenhängen. Sobald der verbunden ist, legt er in unregelmäßigen (sehr kurzen) Abständen diese "Dateien" an. (innerhalb von 10 minuten 128 Einträge) Größe fast immer 0 KB, ab und an 1kb.
Mir scheint, als würde MS da irgendwas ausspionieren. (sieh URL links im Fenster)


Beendet man MSN, werden auch keine neuen Einträge mehr erstellt. Ich weiss leider nicht, seit wann das so ist, ich vermute jedoch seit dem letzten Windows update..

Falls jemand ne Idee dazu hat - bin für jeden hinweis dankbar.

Was soll das Posting. Du betreibst laut NUB Dialogstörung. Was sagt Dir, dass Du wirklich das gleiche Problem hast?
http://www.trojaner-board.de/extra/impressum.html#NUB

Und Dein unnützes Kommentar ist besser? Was ist daran ne Störung, wenn ich in einem Thread auf etwas stoße das bei mir auch vorhanden ist, und dazu ne frage stelle? Und wenn Du lesen kannst, dann siehst Du, das ich mich nur auf diese Einträge beziehe.

Und nun halte mal den Ball Flach. Wenn Du schlechte Laune hast, lass sie an wem anders aus.

Zitat:

Zitat von [Raven]

Und Dein unnützes Kommentar ist besser? Was ist daran ne Störung, wenn ich in einem Thread auf etwas stoße das bei mir auch vorhanden ist, und dazu ne frage stelle? Und wenn Du lesen kannst, dann siehst Du, das ich mich nur auf diese Einträge beziehe.

Und nun halt mal den Ball Flach. Wenn Du schlechte Laune hast, lass sie an wem anders aus.

Und ich halte den Ball flach. Schöne Grüsse an die Boardleitung.

Zitat:

Zitat von [Raven]

Dasselbe "Problem" hab ich auch.. Jedoch scheint mein OS mehr als sauber zu sein. Weder KAV, escan, Stinger, Ad Aware oder SD finden auch nur das geringste.

Fakt ist, das diese Einträge mit dem MSN Messenger zusammenhängen. Sobald der verbunden ist, legt er in unregelmäßigen (sehr kurzen) Abständen diese "Dateien" an. (innerhalb von 10 minuten 128 Einträge) Größe fast immer 0 KB, ab und an 1kb.
Mir scheint, als würde MS da irgendwas ausspionieren. (sieh URL links im Fenster)


Beendet man MSN, werden auch keine neuen Einträge mehr erstellt. Ich weiss leider nicht, seit wann das so ist, ich vermute jedoch seit dem letzten Windows update..

Falls jemand ne Idee dazu hat - bin für jeden hinweis dankbar.

ich weiss auch nicht so recht, was der Spyfalcon mit deinem Prob zu tun hat...

gateway.dll -> MSN Messenger Protocol .
was das nun mit Ausspionieren zu tun hat... ???
Beende den messenger, benutze ihn nicht, wenn du dich das protokoll stoert.

hallo, ich weiss nicht ob ich es hier im forum gelesen habe, wenn ja, dann sorry (hab den beitrag nu nich gefunden), jedenfalls hatte ich auch spyfalcon auf dem laptop. ich hab mir "smitRem" runtergeladen und durchlaufen lassen. danach war der nervige pop-up-tray wech und is bis jetzt auch nicht wieder aufgetaucht.
ist m.E. nach einfacher, als zig anleitungen abzuarbeiten, weil man nur eben das programm downloaded, die exe startet und ein paar minuten wartet. hat evtl auch nachteile, die mir jetzt persönlich nicht bekannt sind, aber ich bin hochzufrieden.

hier der link:

http://noahdfear.geekstogo.com/