Hey!

Ich verzweifel hier mit einem Pop-Up das sich immer in meiner Icon-Liste unten rechts einschleicht:

Da kommt immer ein gelbes Warnzeichen mit einem Ausrufezeichen und der meint "Your system has been infected, please click here for spyware removel..."

Hab jetzt Norten 2005, Kaspersky und a sqared drüberlaufen lassen, hab auch ca 20 Viren gefunden, aber weg is das Ding immer noch nicht!

In meinen Temporary Internet Files kann ich auch ein paar nie löschen, und interessanter Weise vermehren die sich immer. Hier ein paar NAmen:

gateway.dll?Action=poll&SessionID=113907551
gateway.dll?Action=poll&SessionID=210391762 (gleich fünf mal)
gateway.dll?Action=SessionID=210391762

Hat das vielleicht was damit zu tun?

Bin echt kurz davor meinen PC zu plätten, ihr seit meine letzte Hoffnung...

Thx!

Hört sich nach Smitfrauf oder diesem Mist an...poste doch mal so ein Log.

ALso, alles gemacht, hier is das file:

Logfile of HijackThis v1.99.1
Scan saved at 10:20:36, on 18.04.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\ZONELABS\vsmon.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\nvctrl.exe
C:\WINDOWS\system32\mssearchnet.exe
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\AGRSMMSG.exe
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\Programme\Java\j2re1.4.2_01\bin\jusched.exe
C:\PROGRA~1\LAUNCH~1\CPLCL32.EXE
C:\Program Files\Aspire Arcade\PCMService.exe
C:\Programme\CRW\shwicon.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Adobe\Acrobat 7.0\Distillr\Acrotray.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\fpdisp5a.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\2\WPSC3PSW.EXE
C:\Programme by Mecki\D-Tools\daemon.exe
C:\Programme by Mecki\ZoneAlarm\zlclient.exe
C:\PROGRA~3\Nokia\NOKIAP~1\LAUNCH~1.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\MSN Messenger\MsnMsgr.Exe
C:\PROGRA~1\GEMEIN~1\PCSuite\Services\SERVIC~1.EXE
C:\Programme by Mecki\Gmail Notifier\gnotify.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\msiexec.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\MsiExec.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme by Mecki\WinAce\WinAce.exe
C:\DOKUME~1\Mecki\LOKALE~1\Temp\~AceTemp\hijackthis\HijackThis.exe
C:\Programme\Adobe\Acrobat 7.0\Acrobat\acrobat_sl.exe

R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://www.type2find.com/sp2.php
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://global.acer.com
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.type2find.com/sp2.php
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = C:\WINDOWS\about.htm
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=127.0.0.1:80
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = 127.0.0.1:80
R3 - Default URLSearchHook is missing
O2 - BHO: Nothing - {8d83b16e-0de1-452b-ac52-96ec0b34aa4b} - C:\WINDOWS\system32\hpCC79.tmp
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - blank (file missing)
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - blank (file missing)
O4 - HKLM\..\Run: [LaunchApp] Alaunch
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_01\bin\jusched.exe
O4 - HKLM\..\Run: [LManager] C:\PROGRA~1\LAUNCH~1\CPLCL32.EXE
O4 - HKLM\..\Run: [PCMService] "C:\Program Files\Aspire Arcade\PCMService.exe"
O4 - HKLM\..\Run: [ShowIcon_Chander_CRW Series Driver v1.17r019] C:\Programme\CRW\shwicon.exe -t"Chander\CRW Series Driver v1.17r019"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [{0228e555-4f9c-4e35-a3ec-b109a192b4c2}] C:\Programme by Mecki\Gmail Notifier\G001-1.0.25.0\gnotify.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [Acrobat Assistant 7.0] "C:\Programme\Adobe\Acrobat 7.0\Distillr\Acrotray.exe"
O4 - HKLM\..\Run: [WpsRePsw] C:\WINDOWS\System32\spool\DRIVERS\W32X86\2\WpsRePsw.EXE
O4 - HKLM\..\Run: [FinePrint Dispatcher v5] "C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\fpdisp5a.exe" /source=HKLM
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programme by Mecki\D-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme by Mecki\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [PCSuiteTrayApplication] C:\PROGRA~3\Nokia\NOKIAP~1\LAUNCH~1.EXE -onlytray
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - Global Startup: Gmail Notifier.lnk = C:\Programme by Mecki\Gmail Notifier\gnotify.exe
O4 - Global Startup: Adobe Acrobat Speed Launcher.lnk = ?
O8 - Extra context menu item: Convert link target to Adobe PDF - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convert link target to existing PDF - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convert selected links to Adobe PDF - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Convert selected links to existing PDF - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Convert selection to Adobe PDF - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convert selection to existing PDF - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convert to Adobe PDF - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convert to existing PDF - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O20 - Winlogon Notify: winsor32 - winsor32.dll (file missing)
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: kavsvc - Kaspersky Lab - C:\Programme by Mecki\Kaspersky Anti-Virus Personal Pro\kavsvc.exe
O23 - Service: SAVScan - Unknown owner - C:\Programme by Mecki\Norton AntiVirus\SAVScan.exe (file missing)
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZONELABS\vsmon.exe

Danke für die Hilfe!

PS: Grad ging ein neuer Pop-Up auf den ich noch nciht kannte, auch sehr interessant, aber immer die gleiche Intention der Meldung: Ich hab Spyware (wirklich?!?!!?)

Hallo red.meck,

du hast spyaxe und wohl spyquake im System.
Hier eine Anleitung

chaosman

Download Noahdfear's SmitRem fix
http://noahdfear.geekstogo.com/

Für SpyFalcon, download FixSF.reg
http://www.bleepingcomputer.com/files/reg/FixSF.reg

Für SpywareQuake, download FixSQ.zip
http://castlecops.com/zx/flrman1/FixSQ.zip

Download Ewido Antimalware
http://www.ewido.net/en/download/

Tutorial:
-Ewido installieren und updaten / keinen Scan ausführen
-SmitRem entpacken in ein neues Verzeichnis außerhalb von c:
-Für SpyFalcon Doppelklick auf FixSF.reg und dann >YES< Button und dann >OK< Button klicken

Die restliche Entfernung wird im Abgesicherten Modus ausgeführt.

Ergo, neu starten und F8 vor dem Windowsscreen drücken

Nach folgenden Dateien suchen:
C:\Windows\System32\dxmpp.dll
C:\Windows\System32\ginuerep.dll
C:\Windows\System32\stickrep.dll

C:\Program Files\SpyFalcon
C:\Program Files\SpywareQuake

Wenn du sie findest, lösche sie - (manchmal lassen sich keine dieser Dateien finden)

In den Ordneroptionen "Alle Dateien und Ordner anzeigen" aktivieren und nochmals suchen.

Auch wenn du jetzt immer noch keine Dateien gefunden hast, den SmitRem Ordner aufrufen und die RunThis.bat durch Doppelklick starten.

Alle offenen Windowsprogramme müssen jetzt geschlossen sein. Danach erscheint ein DOS-Fenster und dann die Any-Key Taste drücken, um die Entfernung zu starten..

Das Tool fängt jetzt an zu arbeiten, wenn dieser Prozess abgeschlossen ist, erschein im DOS-Fenster der Text:

The Tool has completed

Da die Malware SpyFalcon und SpyQuake viele Dateien über deine Festplatten verteilt, musst du jetzt dein System mit Ewido scannen. ACHTUNG: Dieses kann sehr schnell gehen(<5min) oder aber auch ein paar Stunden dauern, da es von deiner gespeicherten Datenmenge abhängig ist.(leuchtet das "Festplattenaktivitätslicht" sucht das Tool noch....Geduld!!!)

Wenn Ewido fertig mit dem Scannen ist, den Report abspeichern.

Danach den PC neu starten und gegebenenfalls den Desktop neu einrichten.

Gruss

netjargon

P.S.
Fragen können per mail oder hier gestellt werden - Feedback erwünscht!

Zitat:

Zitat von netjargon

... und dann die Any-Key Taste drücken

dartus

netjargon

meiner Meinung nach , ist die Anleitung nicht in Ordnung, da nicht vollstaendig.
Man sollte Spyfalcon und SpywareQuake nicht in einem Thread behandeln.
Dazu kommt, dass es staendig neue dll gibt, also staendig aktualisiert werden muss.

------------------------------------------------------------------

Spyfalcon
http://virus-protect.org/artikel/spyware/spyfalcon.html

SpywareQuake
http://virus-protect.org/artikel/spy...warequake.html

beide Links enthalten auch Anweisungen, wenn der Purityscan vorhanden ist.

---------------------------------------------------------------

Uebersicht: (alle dll enthalten und werden staendig aktualisiert )
http://board.protecus.de/t20820.htm

Zitat:

Dazu kommt, dass es staendig neue dll gibt, also staendig aktualisiert werden muss.

Da hast du sicherlich recht. Es gibt unterschiedliche Wege zur Desinfizierung eines OS. Bis dato habe ich 184 positive Rückbestätigungen und 3 Fehlversuche bestätigt bekommen(meine hp)

@dartus:

I know I got often mindfucked by language switching..