Ich habe einen bösen Spyware Befall:

Angefangen hat es wohl mit UnspyPC, daß sich installiert hat. Deinstallation half nicht.

Als nächstes hatte ich eine ungewollte Searchbar mit Links auf Viagra, Pornoseiten usw.

Mit Hilfe von Registrymodifikationen, AdAware und SpyBot ist diese nun verschwunden. Seitdem sind aber auch das Menü und die anderen Bars weg. Ich werde permanent auf andere Seiten umgeleitet und kann auch keine Downloads mehr machen.

Hier mein Log:

Logfile of HijackThis v1.99.1
Scan saved at 08:25:21, on 13.05.2006
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\csrss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINNT\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINNT\system32\nvsvc32.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\System32\tcpsvcs.exe
C:\WINNT\System32\snmp.exe
C:\WINNT\system32\ZoneLabs\vsmon.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\inetsrv\inetinfo.exe
C:\WINNT\System32\msdtc.exe
C:\WINNT\system32\mqsvc.exe
C:\WINNT\Explorer.EXE
C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
C:\WINNT\system32\dla\tfswctrl.exe
C:\Programme\Dell\USBKEYBLCK\USBKeyBlock.exe
C:\Programme\Picasa\PicasaMediaDetector.exe
C:\WINNT\system32\RUNDLL32.EXE
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINNT\system32\internat.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\WinZip\WZQKPICK.EXE
C:\Transfer\Downloads\HijackThis.exe

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: DriveLetterAccess - {5CA3D70E-1895-11CF-8E15-001234567890} - C:\WINNT\system32\dla\tfswshx.dll
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [NVRTCLK] C:\WINNT\system32\NVRTCLK\NVRTClk.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINNT\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [RemoteControl] C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [dla] C:\WINNT\system32\dla\tfswctrl.exe
O4 - HKLM\..\Run: [UpdateManager] "C:\Programme\Gemeinsame Dateien\Sonic\Update Manager\sgtray.exe" /r
O4 - HKLM\..\Run: [TCASUTIEXE] TCAUDIAG -off
O4 - HKLM\..\Run: [Dell Performance USB keyboard hotkey blocker] C:\Programme\Dell\USBKEYBLCK\USBKeyBlock.exe
O4 - HKLM\..\Run: [LifeScape Media Detector] C:\Programme\Picasa\PicasaMediaDetector.exe
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINNT\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [Zone Labs Client] C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE
O16 - DPF: {01A88BB1-1174-41EC-ACCB-963509EAE56B} (SysProWmi Class) - http://support.euro.dell.com/systemprofiler/SysPro.CAB
O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/activex/eBay_Enhanced_Picture_Control_v1-0-3-30.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1135757685781
O16 - DPF: {DEB21AD3-FDA4-42F6-B57D-EE696A675EE8} (IP-Uploader Control) - http://asp01.photoprintit.de/microsite/1119/defaults/activex/ImageUploader3.cab
O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Help\hxds.dll
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINNT\system32\nvsvc32.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINNT\system32\ZoneLabs\vsmon.exe

Was muß ich tun, um das Problem loszuwerden? Ich stehe mental kurz vor einer Neuinstallation!

Hallo,
scanne dein System mal mit F-Secure Blacklight und poste das Logfile (wird automatisch nach dem Scan im selben Pfad erstellt, fsbl**.txt)


Grüße Wildone

Ich habe ein großes Problem: Ich kann keinen http-Download mehr machen!
http://www.europe.f-secure.com/exclude/blacklight/blbeta.exe

Mit dem zweiten Rechner klappt es auch nicht. Verzweiflung!

Ist das Programm per FTP verfügbar? Da hätte ich noch FileZilla

Herbert

Download hat geklappt: Ca. jedes 5. mal kommt ein IE mit Menü und Toolbar hoch. Hier hat der Download keine Probleme.

Scan läuft gerade.

Ich habe Mordgedanken gegenüber dem Verursacher meiner Probleme. Ist das normal oder muß ich schleunigst zum Psychater?

Hier das log:
05/13/06 09:52:07 [Info]: BlackLight Engine 1.0.36 initialized
05/13/06 09:52:07 [Info]: OS: 5.0 build 2195 (Service Pack 4)
05/13/06 09:52:08 [Note]: 7019 4
05/13/06 09:52:08 [Note]: 7005 0
05/13/06 09:52:10 [Note]: 7006 0
05/13/06 09:52:10 [Note]: 7011 1676
05/13/06 09:52:10 [Note]: 7026 0
05/13/06 09:52:10 [Note]: 7026 0
05/13/06 09:52:16 [Note]: FSRAW library version 1.7.1015
05/13/06 09:52:25 [Info]: Hidden file: c:\Programme\CyberLink\PowerDVD\cltest.exe
05/13/06 09:52:25 [Note]: 10002 1
05/13/06 09:52:59 [Info]: Hidden file: c:\Programme\Gemeinsame Dateien\Microsoft Shared\web server extensions\40\bin\tcptest.
05/13/06 09:52:59 [Note]: 10002 1
05/13/06 09:53:43 [Info]: Hidden file: c:\WINNT\system32\cswpp.exe
05/13/06 09:53:43 [Note]: 7002 32
05/13/06 09:53:43 [Note]: 7003 1
05/13/06 09:53:43 [Note]: 10002 1
05/13/06 09:53:45 [Info]: Hidden file: c:\WINNT\system32\dmkda.exe
05/13/06 09:53:45 [Note]: 7002 32
05/13/06 09:53:45 [Note]: 7003 1
05/13/06 09:53:45 [Note]: 10002 1
05/13/06 09:53:46 [Info]: Hidden file: c:\WINNT\system32\filesafer23.exe
05/13/06 09:53:46 [Note]: 10002 1
05/13/06 09:54:23 [Info]: Hidden file: c:\WINNT\system32\wbem\wbemtest.exe
05/13/06 09:54:23 [Note]: 10002 1

Hallo,

Zitat:

Ich habe Mordgedanken gegenüber dem Verursacher meiner Probleme. Ist das normal oder muß ich schleunigst zum Psychater?

Kurzfristige Mordgedanken sind normal, solange du nicht mit dem Wellholz in der Hand in die Ukraine reist ist noch alles in Ordnung. Diese Einschätzung bekommst du von Wildone, seiner Zeit Feierabendpsychologe

Aber jetzt mal im Ernst, soetwas kommt nicht automatisch auf den Rechner, dem vorraus sind Fehler deinerseits gegangen, zu genauerem kommen wir noch später.

Jetzt brauche ich mal eine Entscheidung von deiner Seite, ich kann diesen Schädling beseitigen(wenn auch mit Bauchschmerzen), mit dem Problem, dass man nie wirklich sicher sein kann ob ich alles erwischt habe, da der Schädling Rootkittechnologie einsetzt um sich zu tarnen.
Die Entscheidung ist also ob du fluchend Neuaufsetzen willst, aber damit sicher wärst dass jetzt alles sauber ist oder den weg einer Bereinigung beschreitest mit der Möglichkeit nicht alles erwischt zu haben.

Entscheiden sie sich jetzt.
*Melodie von Jeopardy summ*


Grüße Wildone

Bitte Entfernen!

Wenn er wieder kommt, dann werde ich neu aufsetzen.

Hallo,
Problem ist das du das ev. nicht merken wirst ob er wieder kommt, aber nun gut.

Scanne nochmal mit F-Secure Blacklight, wenn er fertig ist kommst du zu "Step 2 cleaning" dort benennst du mit Hilfe der Renamefunktion folgende Dateien um :

05/13/06 09:53:43 [Info]: Hidden file: c:\WINNT\system32\cswpp.exe
05/13/06 09:53:45 [Info]: Hidden file: c:\WINNT\system32\dmkda.exe
05/13/06 09:53:46 [Info]: Hidden file: c:\WINNT\system32\filesafer23.exe

diese tauchen dann in dem System32 Ordner folgendermaßen auf:
c:\WINNT\system32\cswpp.exe.ren
c:\WINNT\system32\dmkda.exe.ren
c:\WINNT\system32\filesafer23.exe.ren

Diese Dateien löschst du dann.

Dann mal ein Bericht ob das Problem noch besteht.


Grüße Wildone

Wow!

Schaut im ersten Blick gut aus!

Die Links bei Google werden nicht mehr umgeleitet und Menü und Toolbar im IE ist wieder da!

Vielen Dank!

Ich geb Dir ein Bier aus

Du bist

Ich hoffe, daß ich damit um die Neuinstallation herumkomme.

Hallo,
poste mal noch ein neues HijackThis Logfile. Aber eigentlich sollte es das gewesen sein. Aber wie schon oben geschrieben, ohne Gewähr.


Grüße Wildone

Hier das aktuelle Logfile:

Logfile of HijackThis v1.99.1
Scan saved at 11:07:27, on 13.05.2006
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINNT\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINNT\system32\nvsvc32.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\System32\tcpsvcs.exe
C:\WINNT\System32\snmp.exe
C:\WINNT\system32\ZoneLabs\vsmon.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\inetsrv\inetinfo.exe
C:\WINNT\System32\msdtc.exe
C:\WINNT\system32\mqsvc.exe
C:\WINNT\Explorer.EXE
C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
C:\WINNT\system32\dla\tfswctrl.exe
C:\Programme\Gemeinsame Dateien\Sonic\Update Manager\sgtray.exe
C:\Programme\Dell\USBKEYBLCK\USBKeyBlock.exe
C:\Programme\Picasa\PicasaMediaDetector.exe
C:\WINNT\system32\RUNDLL32.EXE
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINNT\system32\internat.exe
C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
C:\Programme\WinZip\WZQKPICK.EXE
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Transfer\Downloads\HijackThis.exe

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: DriveLetterAccess - {5CA3D70E-1895-11CF-8E15-001234567890} - C:\WINNT\system32\dla\tfswshx.dll
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [NVRTCLK] C:\WINNT\system32\NVRTCLK\NVRTClk.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINNT\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [RemoteControl] C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [dla] C:\WINNT\system32\dla\tfswctrl.exe
O4 - HKLM\..\Run: [UpdateManager] "C:\Programme\Gemeinsame Dateien\Sonic\Update Manager\sgtray.exe" /r
O4 - HKLM\..\Run: [TCASUTIEXE] TCAUDIAG -off
O4 - HKLM\..\Run: [Dell Performance USB keyboard hotkey blocker] C:\Programme\Dell\USBKEYBLCK\USBKeyBlock.exe
O4 - HKLM\..\Run: [LifeScape Media Detector] C:\Programme\Picasa\PicasaMediaDetector.exe
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINNT\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [Zone Labs Client] C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
O4 - HKLM\..\Run: [dmkda.exe] C:\WINNT\system32\dmkda.exe
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE
O16 - DPF: {01A88BB1-1174-41EC-ACCB-963509EAE56B} (SysProWmi Class) - http://support.euro.dell.com/systemprofiler/SysPro.CAB
O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/activex/eBay_Enhanced_Picture_Control_v1-0-3-30.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1135757685781
O16 - DPF: {DEB21AD3-FDA4-42F6-B57D-EE696A675EE8} (IP-Uploader Control) - http://asp01.photoprintit.de/microsite/1119/defaults/activex/ImageUploader3.cab
O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Help\hxds.dll
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINNT\system32\nvsvc32.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINNT\system32\ZoneLabs\vsmon.exe


und das log vom Rootkit-Eliminator:
05/13/06 11:08:22 [Info]: BlackLight Engine 1.0.36 initialized
05/13/06 11:08:22 [Info]: OS: 5.0 build 2195 (Service Pack 4)
05/13/06 11:08:22 [Note]: 7019 4
05/13/06 11:08:22 [Note]: 7005 0
05/13/06 11:08:24 [Note]: 7006 0
05/13/06 11:08:24 [Note]: 7011 1488
05/13/06 11:08:24 [Note]: 7026 0
05/13/06 11:08:25 [Note]: 7026 0
05/13/06 11:08:32 [Note]: FSRAW library version 1.7.1015

Hallo,
okay, sieht alles sauber aus. Dann kommen wir nochmal zur Prevention.
1.) Gut abgesicherten Browser verwenden (IE oder alternativen, Firefox, Opera, Mozilla)

2.) Soweit das mit Win2000 möglich ist, ein aktuelles System verwenden.

3.) Keine Programme aus unseriösen Quellen (Crackseiten, P2P, Mailanhänge usw.)

Weitere Tipps sind hier zu finden.

Edit:
Den Eintrag habe ich übersehen, den solltest du noch fixen (Haken davor und auf "fix checked"):
O4 - HKLM\..\Run: [dmkda.exe] C:\WINNT\system32\dmkda.exe



Grüße Wildone