DyFuCA.InternetOptimizer und ISearchTech.SideFind

The Pope · 19.06.2006, 14:34

Hi,

Spybot - Search & Destroy hat bei mir 2 Probleme gefunden die sich nicht löschen lassen: "DyFuCA.InternetOptimizer" und "ISearchTech.SideFind" Könnt ihr mir dabei irgendwie helfen?

HijackThis hat folgenden Text gespeichert:

Logfile of HijackThis v1.99.1
Scan saved at 15:22:59, on 19.06.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\Programme\DAEMON Tools\daemon.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\Free Download Manager\fdm.exe
C:\Programme\Valve\Steam\Steam.exe
C:\Programme\CursorXP\CursorXP.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\Programme\NoAdware4\NoAdware4.exe
C:\Programme\Adobe\Acrobat 7.0\Reader\AcroRd32.exe
C:\Dokumente und Einstellungen\***\Desktop\HijackThis.exe

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = \blank.htm
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [AVG7_EMC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\cli.exe" runtime -Delay
O4 - HKLM\..\Run: [DAEMON Tools] "C:\Programme\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKCU\..\Run: [Free Download Manager] C:\Programme\Free Download Manager\fdm.exe -autorun
O4 - HKCU\..\Run: [Steam] C:\Programme\Valve\Steam\\Steam.exe -silent
O4 - HKCU\..\Run: [CursorXP] C:\Programme\CursorXP\CursorXP.exe
O4 - HKCU\..\Run: [Tune Up ProcessManager] C:\Programme\TuneUp Utilities\ProcessManager.exe
O8 - Extra context menu item: Download all with Free Download Manager - file://C:\Programme\Free Download Manager\dlall.htm
O8 - Extra context menu item: Download selected with Free Download Manager - file://C:\Programme\Free Download Manager\dlselected.htm
O8 - Extra context menu item: Download web site with Free Download Manager - file://C:\Programme\Free Download Manager\dlpage.htm
O8 - Extra context menu item: Download with Free Download Manager - file://C:\Programme\Free Download Manager\dllink.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Klicke hier um das Projekt xp-AntiSpy zu unterstützen - {18C1C9B1-0EFD-429F-A89A-9CC76F91A6A7} - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU)
O9 - Extra 'Tools' menuitem: Unterstützung für xp-AntiSpy - {18C1C9B1-0EFD-429F-A89A-9CC76F91A6A7} - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU)
O9 - Extra button: WeatherBug - {AF6CABAB-61F9-4f12-A198-B7D41EF1CB52} - C:\Programme\AWS\WeatherBug\Weather.exe (file missing) (HKCU)
O16 - DPF: {E14B4A42-052F-402D-979B-79053C0DBCD7} (PIDModule Class) - http://www.postscribedid.com/plugin/cabs/PIDPlugin_v1000_r2.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{F1C7A8A2-328E-46AF-BE68-9F1DAB472E3B}: NameServer = 194.25.2.129
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
O23 - Service: Windows Log - Unknown owner - C:\WINDOWS\system32\nvsvcd.exe

cosinus · 19.06.2006, 15:16

Zitat:

O23 - Service: Windows Log - Unknown owner - C:\WINDOWS\system32\nvsvcd.exe

Sieht nach diesem hier aus. Werte die Datei C:\WINDOWS\system32\nvsvcd.exe daher mal bitte bei Virustotal aus und poste die Ergebnisse.

The Pope · 19.06.2006, 15:35

Ich bin neu hier im Forum, könnte mir jemand erklären, wo ich virustotal downloaden soll? auf virustotal.com habe ich nichts gefunden.

Edit: oder wo soll ich hinklicken, damit ich die datei auswerten kann?

**Sunny** · 19.06.2006, 16:05

Klick auf den Link von "cosinus" , dann ist ober auf der Startseite von Virustotal ein Button --> "Durchsuchen" (anklicken

) Diese Datei suchen:

Zitat:

C:\WINDOWS\system32\nvsvcd.exe

-->öffnen-->und warten, und warten!!! Wenn die Datei ausgewertet ist, den gesamten Text markieren, kopieren, und hier in einen Beitrag setzen!

Gruß
Daniel

EDIT: Moin Arne, jupp ich war schneller!!!

cosinus · 19.06.2006, 16:09

Klick auf diesen Link.
Rechts oben ist ein Adressfeld von Virustotal. Nun kopierst Du diese Zeile (das fettgedruckte)
C:\WINDOWS\system32\nvsvcd.exe
in den Zwischenspeicher (das fette markieren und STRG+C dürcken) und fügst es in das Adressfeld bei Virustotal mit STRG+V ein. Danach klickst Du auf 'Send'. Und abwarten bis die Überprüfung durch ist

Edit: Moin Sunny, warst mal wieder schneller.

/Edit.

The Pope · 19.06.2006, 16:18

Ok, jetzt hab ichs, hab das durchsuchen überssehen.

Virustotal hat dann diesen Text gebracht

Mellosun · 19.06.2006, 16:23

Wenn google net Lügt, sollte das Teil Backdoor Funktionen haben.

Ich würde sagen: Neuaufsetzen!

Mal sehen, was [Gc]Sunny sagt!

cosinus · 19.06.2006, 16:28

Vgl. diesen Thread. Dort geht es auch um die besagte Datei nvsvcd.exe, die da auch als ähnlicher Schädling erkannt wird.
Das Sicherste und Vernünftigste wird also eine Neuinstallation sein.

The Pope · 19.06.2006, 16:32

ok dann werd ich mal neuinstallieren, bei dem ganzen müll den ich auf meinem PC hab wirds auch mal wieder Zeit.

Hab mir den anderen Thread durchgelesen, werds neuinstallieren. Thanks for Help

**Sunny** · 19.06.2006, 16:35

Zitat:

Zitat von The Pope

Andere Möglichkeiten gibts ja nicht oder kann ich den Virus irgendwie löschen?

Hast du eigentlich die Datei ausgwertet? Wenn ja wo bleibt das Ergebnis?
Bin mir zu 99,9999³% sicher, das es sich wirklich um einen Trojaner mit Backdoorfunktion handelt...

Sollte sich das bestätigen, bleibt dir nur eins (wie du schon festgestellt hast!) Neuinstallation!
Sorry,
Daniel

cosinus · 19.06.2006, 16:37

Zitat:

Zitat von [Gc]Sunny

Hast du eigentlich die Datei ausgwertet? Wenn ja wo bleibt das Ergebnis?
Bin mir zu 99,9999³% sicher, das es sich wirklich um einen Trojaner mit Backdoorfunktion handelt...

Sollte sich das bestätigen, bleibt dir nur eins (wie du schon festgestellt hast!) Neuinstallation!
Sorry,
Daniel

Die Auswertung der Datei ist hier

**Sunny** · 19.06.2006, 16:43

uuupss! Sorry, hab ich wohl irgendwie überlesen.

The Pope · 19.06.2006, 16:44

Was meinst du jetzt mit auswerten? bei Virustotal? das hab ich doch schon gemacht. oder meinst du irgendetwas anderes?

Edit: ok ich installier es neu, hab die 2. Seite übersehen.

19.06.2006, 16:28	#8
cosinus /// Winkelfunktion /// TB-Süch-Tiger™	DyFuCA.InternetOptimizer und ISearchTech.SideFind Vgl. diesen Thread. Dort geht es auch um die besagte Datei nvsvcd.exe, die da auch als ähnlicher Schädling erkannt wird. Das Sicherste und Vernünftigste wird also eine Neuinstallation sein. __________________ Logfiles bitte immer in CODE-Tags posten

19.06.2006, 16:43	#12
Sunny Administrator > Competence Manager	DyFuCA.InternetOptimizer und ISearchTech.SideFind uuupss! Sorry, hab ich wohl irgendwie überlesen. __________________ Anfragen per Email, Profil- oder privater Nachricht werden ignoriert! Hilfe gibts NUR im Forum! Stulti est se ipsum sapientem putare.

DyFuCA.InternetOptimizer und ISearchTech.SideFind

Log-Analyse und Auswertung: DyFuCA.InternetOptimizer und ISearchTech.SideFind