Hallo!

Ich bekämpfe seit heute Nacht Spyware auf meinem Notebook. Hatte die ganze Zeit Sophos installiert und auch jeden Tag mehrmals nach aktuellen .ide Dateien gesucht und upgedatet.
Gestern Nachmittag hat es dann damit angefangen, dass sich der Mozilla einfach immer "zu Werbefenstern umgewandelt" hat. Als ich ihn geschlossen hatte, ist er einfach von selbst aufgesprungen - wieder mit der Scheiß-Werbung...
Habe zusätzlich Spybot heruntergeladen, der einiges gefunden hat, jedoch nicht alles löschen konnte, weil:. "Einige Probleme konnten nicht behoben werden; der Grund könnte sein, dass die entsprechenden Dateien immer noch im Speicher residieren. Dies kann wahrscheinlich nach einem Neustart behoben werden." Allerdings habe ich bereits mehrmals neugestartet und es passiert immer nur das gleiche...
Achja, nach dem Hochfahren gibt er jetzt eine Fehlermeldung an, dass RundLL nicht gefunden werden konnte.

Habe euch noch den letzten Scan angehängt, damit ihr vllt damit besser klar kommt.

Wäre euch echt dankbar, wenn ihr mir helfen könnten!!

Morgen,

bitte erstelle zusätzlich nochmal ein HijackLog zur genaueren Überprüfung. Anleitung in meiner Signatur. Aus der .txt Datei die du erstellt hast kann man nicht genau ersehen, was schön gefixt bzw. noch (wie du schon festgestellt hast) im Speicher residiert.

Gruß
Daniel

Morgen!

Hoffe, hab das alles richtig gemacht...

Zitat:

Zitat von 1983_Andrea

Morgen!

Hoffe, hab das alles richtig gemacht...

noch nicht! Poste das LOG von HijackThis hier in deinen Thread ...

Irgendwie scheint der Anhang nicht dabei zu sein....
Noch mal

Du hast auf jeden Fall schonmal den hier und einige andere im System: W32/Colevo-A


doch bevor wir mit den obrigen anfangen suche diese Dateien und lass sie bei Virustotal überprüfen:
C:\PROGRA~1\GEMEIN~1\fuqw\fuqwm.exe
C:\PROGRA~1\GEMEIN~1\fuqw\fuqwa.exe
C:\WINDOWS\system32\m8460ihse8460.dll

führe zusätzlich noch einen ONLINESCAN bei Kaspersky aus.

Poste bitte die Ergebnisse von Virustotal und Kaspersky.

Gruß
Daniel

Also, erst mal das von virus total:

STATUS: FINISHEDComplete scanning result of "fuqwm.exe", received in VirusTotal at 04.29.2006, 12:56:13 (CET).

Antivirus Version Update Result
AntiVir 6.34.0.24 04.20.2006 TR/Dldr.TSUpdate.N
Avast 4.6.695.0 04.28.2006 Win32:Tsupdate-C
AVG 386 04.28.2006 Downloader.Generic.JAD
Avira 6.34.1.58 04.28.2006 TR/Dldr.TSUpdate.N
BitDefender 7.2 04.29.2006 Application.Targetsavers.C
CAT-QuickHeal 8.00 04.28.2006 TrojanDownloader.TSUpdate.n
ClamAV devel-20060202 04.27.2006 no virus found
DrWeb 4.33 04.29.2006 Adware.TargetServer
eTrust-InoculateIT 23.71.142 04.29.2006 Win32/SillyDL.Tsa!Trojan
eTrust-Vet 12.4.2184 04.28.2006 Win32/Sasla.A
Ewido 3.5 04.29.2006 Downloader.TSUpdate.n
Fortinet 2.71.0.0 04.29.2006 W32/TSUpdate.N-tr
F-Prot 3.16c 04.29.2006 security risk named W32/Downloader.JWS
Ikarus 0.2.59.0 04.29.2006 Trojan-Downloader.Win32.TSUpdate.N
Kaspersky 4.0.2.24 04.29.2006 Trojan-Downloader.Win32.TSUpdate.n
McAfee 4751 04.28.2006 potentially unwanted program Uploader-R
Microsoft 1.1372 04.29.2006 Startup.NameShifter.JV (threat-c)
NOD32v2 1.1512 04.28.2006 Win32/TrojanDownloader.TSUpdate.N
Norman 5.90.17 04.28.2006 W32/DLoader.QKD
Panda 9.0.0.4 04.28.2006 Adware/Sqwire
Sophos 4.05.0 04.28.2006 no virus found
Symantec 8.0 04.29.2006 no virus found
TheHacker 5.9.7.136 04.29.2006 Trojan/Downloader.TSUpdate.n
UNA 1.83 04.28.2006 TrojanDownloader.Win32.TSUpdate
VBA32 3.11.0 04.28.2006 Trojan-Downloader.Win32.TSUpdate.n


Aditional Information
File size: 9216 bytes
MD5: 050731180c404db42028e8e044aea558
SHA1: 8e53737599481f62b007e44a146536407421f0d2

STATUS: FINISHEDComplete scanning result of "fuqwa.exe", received in VirusTotal at 04.29.2006, 13:02:29 (CET).

Antivirus Version Update Result
AntiVir 6.34.0.24 04.20.2006 TR/Dldr.TSUpdate.L.1
Avast 4.6.695.0 04.28.2006 Win32:Tsupdate-D
AVG 386 04.28.2006 Downloader.Generic.IRO
Avira 6.34.1.58 04.28.2006 TR/Dldr.TSUpdate.L.1
BitDefender 7.2 04.29.2006 Trojan.Downloader.TSUpdate.L
CAT-QuickHeal 8.00 04.28.2006 TrojanDownloader.TSUpdate.l
ClamAV devel-20060202 04.27.2006 Trojan.Downloader.Small-504
DrWeb 4.33 04.29.2006 Trojan.DownLoader.5289
eTrust-InoculateIT 23.71.142 04.29.2006 no virus found
eTrust-Vet 12.4.2184 04.28.2006 no virus found
Ewido 3.5 04.29.2006 Downloader.TSUpdate.l
Fortinet 2.71.0.0 04.29.2006 W32/TSUpdate
F-Prot 3.16c 04.29.2006 security risk named W32/Downloader.LTV
Ikarus 0.2.59.0 04.29.2006 Trojan-Downloader.Win32.TSUpdate.L
Kaspersky 4.0.2.24 04.29.2006 Trojan-Downloader.Win32.TSUpdate.l
McAfee 4751 04.28.2006 potentially unwanted program Uploader-R
Microsoft 1.1372 04.29.2006 TargetSaver (threat-c)
NOD32v2 1.1512 04.28.2006 Win32/TrojanDownloader.TSUpdate.L
Norman 5.90.17 04.28.2006 W32/DLoader.QLQ
Panda 9.0.0.4 04.28.2006 Adware/Sqwire
Sophos 4.05.0 04.28.2006 no virus found
Symantec 8.0 04.29.2006 no virus found
TheHacker 5.9.7.136 04.29.2006 Trojan/Downloader.TSUpdate.l
UNA 1.83 04.28.2006 TrojanDownloader.Win32.TSUpdate
VBA32 3.11.0 04.28.2006 Trojan-Downloader.Win32.TSUpdate.l


Aditional Information
File size: 16896 bytes
MD5: 5d89c1022e687d6793505054eddbe1a7

STATUS: FINISHEDComplete scanning result of "m8460ihse8460.dll", received in VirusTotal at 04.29.2006, 13:05:25 (CET).

Antivirus Version Update Result
AntiVir 6.34.0.24 04.20.2006 no virus found
Avast 4.6.695.0 04.28.2006 no virus found
AVG 386 04.28.2006 no virus found
Avira 6.34.1.58 04.28.2006 no virus found
BitDefender 7.2 04.29.2006 no virus found
CAT-QuickHeal 8.00 04.28.2006 no virus found
ClamAV devel-20060202 04.27.2006 no virus found
DrWeb 4.33 04.29.2006 no virus found
eTrust-InoculateIT 23.71.142 04.29.2006 no virus found
eTrust-Vet 12.4.2184 04.28.2006 no virus found
Ewido 3.5 04.29.2006 no virus found
Fortinet 2.71.0.0 04.29.2006 no virus found
F-Prot 3.16c 04.29.2006 no virus found
Ikarus 0.2.59.0 04.29.2006 no virus found
Kaspersky 4.0.2.24 04.29.2006 no virus found
McAfee 4751 04.28.2006 no virus found
Microsoft 1.1372 04.29.2006 no virus found
NOD32v2 1.1512 04.28.2006 no virus found
Norman 5.90.17 04.28.2006 no virus found
Panda 9.0.0.4 04.28.2006 no virus found
Sophos 4.05.0 04.28.2006 no virus found
Symantec 8.0 04.29.2006 no virus found
TheHacker 5.9.7.136 04.29.2006 no virus found
UNA 1.83 04.28.2006 no virus found
VBA32 3.11.0 04.28.2006 no virus found


Aditional Information
File size: 0 bytes
MD5: d41d8cd98f00b204e9800998ecf8427e


Kaspersky wird von meiner Firewall geblockt, finde auch nicht, wie ich es doch erlauben kann...

Noch mal großen Dank an dich!

Hast Du Kaspersky muit dem Internet Explorer benutzt? Oder verwendest Du Mozilla ?

Den Mozilla hab ich mittlerweile deinstalliert, weil der ja gesponnen hat. Benutze Avant, habe aber das Kaspersky mit IE geöffnet.

Avant ist nur ein bunter Aufsatz auf den Internet-Explorer.
Prinzipiell solltest du wieder auf einen weniger unsicheren Browser umsteigen, wie Firefox oder Opera.

Anschließend nach (nach Daniel/Sunnys Tipp bzgl der gefunden Viren) solltest du Spybot S&D eventuell auch mal im Abgesicherten Modus durchlaufen lassen.

Log-Dateien bitte immer IN einen Beitrag einfügen
[Ins Log-File "gehen", Strg+A (markiert alles), Strg+C (kopiert markiertes) und hier in deinen Beitrag Strg+V (fügt die Zwischenablage ein)]
Und bevor du ein HJT-Log (oder ähnliches machst), schlöieße alle Programme, alle Fenster.

"Suche" auch noch einmal die C:\WINDOWS\system32\m8460ihse8460.dll mache Rechtsklick auf dieses DLL und lasse dir die (Hersteller)-Informationen ausgeben.

Der

Das ist der Scan aus dem abgesicherten Modus:

Command Service: System Service (Registry key, fixed)
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\cmdService

Command Service: Settings (Registry key, fixed)
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\cmdService

Command Service: Settings (Registry key, fixed)
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\cmdService

NewDotNet: Autorun settings (Registry value, fixed)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\New.net Startup

NewDotNet: Program directory (Directory, fixed)
C:\Programme\NewDotNet\

NewDotNet: Global settings (Registry key, fixed)
HKEY_LOCAL_MACHINE\Software\New.net

NicTechNetworks.Zestyfind: Executable (File, fixed)
C:\WINDOWS\iconu.exe


--- Spybot - Search & Destroy version: 1.4 (build: 20050523) ---

2005-05-31 blindman.exe (1.0.0.1)
2005-05-31 SpybotSD.exe (1.4.0.3)
2005-05-31 TeaTimer.exe (1.4.0.2)
2006-04-28 unins000.exe (51.41.0.0)
2005-05-31 Update.exe (1.4.0.0)
2006-02-06 advcheck.dll (1.0.2.0)
2005-05-31 aports.dll (2.1.0.0)
2005-05-31 borlndmm.dll (7.0.4.453)
2005-05-31 delphimm.dll (7.0.4.453)
2005-05-31 SDHelper.dll (1.4.0.0)
2006-02-20 Tools.dll (2.0.0.2)
2005-05-31 UnzDll.dll (1.73.1.1)
2005-05-31 ZipDll.dll (1.73.2.0)
2006-04-21 Includes\Cookies.sbi (*)
2006-04-21 Includes\Dialer.sbi (*)
2006-04-21 Includes\Hijackers.sbi (*)
2006-04-21 Includes\Keyloggers.sbi (*)
2004-11-29 Includes\LSP.sbi (*)
2006-04-21 Includes\Malware.sbi (*)
2006-04-21 Includes\PUPS.sbi (*)
2006-04-21 Includes\Revision.sbi (*)
2006-04-21 Includes\Security.sbi (*)
2006-04-21 Includes\Spybots.sbi (*)
2005-02-17 Includes\Tracks.uti
2006-04-21 Includes\Trojans.sbi (*)

und jetzt hab ich nach dem Neustart noch mal einen Durchlauf gemacht:

Winfixer: Tracking cookie (Firefox: default) (Cookie, nothing done)


Winfixer: Tracking cookie (Firefox: default) (Cookie, nothing done)


Winfixer: Tracking cookie (Firefox: default) (Cookie, nothing done)


Common Dialogs: History (41 files) (Registry key, fixed)
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\OpenSaveMRU

Log: Activity: COM+.log (Backup file, fixed)
C:\WINDOWS\COM+.log

Log: Activity: SchedLgU.Txt (Backup file, fixing failed)
C:\WINDOWS\SchedLgU.Txt

Log: Activity: imsins.log (Backup file, fixed)
C:\WINDOWS\imsins.log

Log: Activity: OEWABLog.txt (Backup file, fixed)
C:\WINDOWS\OEWABLog.txt

Log: Activity: ntbtlog.txt (Backup file, fixed)
C:\WINDOWS\ntbtlog.txt

Log: Install: comsetup.log (Backup file, fixed)
C:\WINDOWS\comsetup.log

Log: Install: ocgen.log (Backup file, fixed)
C:\WINDOWS\ocgen.log

Log: Install: setupact.log (Backup file, fixed)
C:\WINDOWS\setupact.log

Log: Install: setupapi.log (Backup file, fixed)
C:\WINDOWS\setupapi.log

Log: Install: setuperr.log (Backup file, fixed)
C:\WINDOWS\setuperr.log

Log: Install: setuplog.txt (Backup file, fixed)
C:\WINDOWS\setuplog.txt

Log: Install: wmsetup.log (Backup file, fixed)
C:\WINDOWS\wmsetup.log

Log: Install: DtcInstall.log (Backup file, fixed)
C:\WINDOWS\DtcInstall.log

Log: Shutdown: System32\wbem\logs\mofcomp.log (Backup file, fixed)
C:\WINDOWS\System32\wbem\logs\mofcomp.log

Log: Shutdown: System32\wbem\logs\setup.log (Backup file, fixed)
C:\WINDOWS\System32\wbem\logs\setup.log

Log: Shutdown: System32\wbem\logs\wbemcore.log (Backup file, fixed)
C:\WINDOWS\System32\wbem\logs\wbemcore.log

Log: Shutdown: System32\wbem\logs\wbemess.lo_ (Backup file, fixed)
C:\WINDOWS\System32\wbem\logs\wbemess.lo_

Log: Shutdown: System32\wbem\logs\wbemess.log (Backup file, fixed)
C:\WINDOWS\System32\wbem\logs\wbemess.log

Log: Shutdown: System32\wbem\logs\wbemprox.log (Backup file, fixed)
C:\WINDOWS\System32\wbem\logs\wbemprox.log

Log: Shutdown: System32\wbem\logs\wmiadap.log (Backup file, fixed)
C:\WINDOWS\System32\wbem\logs\wmiadap.log

Log: Shutdown: System32\wbem\logs\wmiprov.log (Backup file, fixed)
C:\WINDOWS\System32\wbem\logs\wmiprov.log

Cookie: Cookie (48) (Cookie, fixed)


Cache: Cache (1292) (Cache, fixed)


Cookie: Cookie (507) (Cookie, fixed)



--- Spybot - Search & Destroy version: 1.4 (build: 20050523) ---

2005-05-31 blindman.exe (1.0.0.1)
2005-05-31 SpybotSD.exe (1.4.0.3)
2005-05-31 TeaTimer.exe (1.4.0.2)
2006-04-28 unins000.exe (51.41.0.0)
2005-05-31 Update.exe (1.4.0.0)
2006-02-06 advcheck.dll (1.0.2.0)
2005-05-31 aports.dll (2.1.0.0)
2005-05-31 borlndmm.dll (7.0.4.453)
2005-05-31 delphimm.dll (7.0.4.453)
2005-05-31 SDHelper.dll (1.4.0.0)
2006-02-20 Tools.dll (2.0.0.2)
2005-05-31 UnzDll.dll (1.73.1.1)
2005-05-31 ZipDll.dll (1.73.2.0)
2006-04-21 Includes\Cookies.sbi
2006-04-21 Includes\Dialer.sbi
2006-04-21 Includes\Hijackers.sbi
2006-04-21 Includes\Keyloggers.sbi
2004-11-29 Includes\LSP.sbi
2006-04-21 Includes\Malware.sbi
2006-04-21 Includes\PUPS.sbi
2006-04-21 Includes\Revision.sbi
2006-04-21 Includes\Security.sbi
2006-04-21 Includes\Spybots.sbi
2005-02-17 Includes\Tracks.uti
2006-04-21 Includes\Trojans.sbi

ach ja - beim Neustart kam die Fehlermeldung:

Fehler beim Laden von w04e17b3.dll

Hast du das gemacht was Shadow geasgt hat:

Zitat:

Zitat von Shadow

"Suche" auch noch einmal die C:\WINDOWS\system32\m8460ihse8460.dll mache Rechtsklick auf dieses DLL und lasse dir die (Hersteller)-Informationen ausgeben.

schreib in einen Beitrag die Informationen der Datei.

Dann machst du einen eScan, gehe genau die Anleitung durch und poste es wie beschrieben!

Gruß
Daniel

Die Datei ist bei mir nicht vorhanden...

Dann mach als nächstes einen eScan und dann sehen wir weiter