Probleme mit RazeSpyware

stringx1 · 01.08.2006, 10:24

Hallo an alle,

Ich habe seit kurzer Zeit den Rechner einer Freundin bei mir. Das Problem ist, das seit kurzem anstatt ihr Desktopbild, ein rot-schwarzer Hintergrund mit blinkender Warnung "DANGER:SPYWARE" prangert. Er zeigt mir an, dass das System mit spyware, spyware tracks usw. verunreinigt ist. Darunter befinden sich Razespyware-Verlinkungen mit dem Hinweis das man dafür ca. 50 $ bezahlen soll.
Daraufhin habe ich im abgesicherte Modus scans gemacht und auch einiges beseitigt. Jetzt ist das Problem wie bekomme ich diese Ausgabe von der Desktopoberfläche.

Hier mal die Hijacklogfiles des Rechners.

Logfile of HijackThis v1.99.1
Scan saved at 08:44:57, on 01.08.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\tppaldr.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Corel\Graphics8\Programs\MFIndexer.exe
C:\Programme\WEB.DE\WEB.DE SmartSurfer\SmartSurfer.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\tppnttry.exe
C:\Dokumente und Einstellungen\User 1\Eigene Dateien\HijackThis\HijackThis.exe

O1 - Hosts: localhost 127.0.0.1
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: SearchToolbar - {08BEC6AA-49FC-4379-3587-4B21E286C19E} - (no file)
O3 - Toolbar: SearchToolbar - {08BEC6AA-49FC-4379-3587-4B21E286C19E} - (no file)
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [TPP Auto Loader] C:\WINDOWS\tppaldr.exe
O4 - HKLM\..\Run: [eeppu.exe] C:\WINDOWS\system32\eeppu.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit
O4 - Startup: WEB.DE SmartSurfer.lnk = C:\Programme\WEB.DE\WEB.DE SmartSurfer\SmartSurfer.exe
O4 - Global Startup: Corel MEDIA FOLDERS INDEXER 8.LNK = C:\Corel\Graphics8\Programs\MFIndexer.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll
O17 - HKLM\System\CCS\Services\Tcpip\..\{04A37543-3A34-4A74-B767-06A1FC13231B}: NameServer = 85.255.115.34,85.255.112.63
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.115.34 85.255.112.63
O17 - HKLM\System\CS1\Services\Tcpip\..\{04A37543-3A34-4A74-B767-06A1FC13231B}: NameServer = 85.255.115.34,85.255.112.63
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.115.34 85.255.112.63
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

Ich hoffe ihr könnt mir weiterhelfen. Danke an euch
mfg stringx1

Mellosun · 01.08.2006, 14:52

Hallo,

Zitat:

Zitat von stringx1

Jetzt ist das Problem wie bekomme ich diese Ausgabe von der Desktopoberfläche.

Ganz Einfach: Klick .

Und der Grund:

Zitat:

Zitat von stringx1

O17 - HKLM\System\CCS\Services\Tcpip\..\{04A37543-3A34-4A74-B767-06A1FC13231B}: NameServer = 85.255.115.34,85.255.112.63
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.115.34 85.255.112.63
O17 - HKLM\System\CS1\Services\Tcpip\..\{04A37543-3A34-4A74-B767-06A1FC13231B}: NameServer = 85.255.115.34,85.255.112.63
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.115.34 85.255.112.63

Umleitung über die Ukraine. Lässt auf einen Backdoor Befall schhließen.

Gruß Mellosun

Wildone · 01.08.2006, 15:26

Hallo,

Zitat:

Lässt auf einen Backdoor Befall schhließen.

Quelle?
Ich sehe keinen zwingenden Zusammenhang zwischen dem verändern der DNS und einer Backdoorkomponente.
Neuaufsetzen könnte man trotzdem in Erwägung ziehen, da es kompliziert werden könnte.
Falls nicht gewünscht, beende mal den Prozess C:\WINDOWS\tppnttry.exe im Taskmanager, überprüfe die zugehörige Datei hier und poste das Ergebnis.

Edit
Falls vorhanden die Datei C:\WINDOWS\system32\eeppu.exe ebenfalls prüfen.

Grüße Wildone

Mellosun · 01.08.2006, 15:39

Hallo,

Zitat:

Zitat von Wildone

Quelle?
Ich sehe keinen zwingenden Zusammenhang zwischen dem verändern der DNS und einer Backdoorkomponente.

Nun, ich sagte ja nicht, das es ein Backdoor Befall gibt. Aber ich habe mal von jemanden gehört oder war es gelesen, das eine Umleitung oft mit einem Backdoor zusammen hängt.
Natürlich lasse ich es mir gern erklären, wie das zustande kommt, falls meine Infos falsch sind!
Und wenn das jemand mal machen würde, könnte er mir auch gleich beantworten, was eigentlich das Problem an so einer Umleitung ist! Das habe ich nämlich noch nicht verstanden......

Gruß Mellosun

Wildone · 01.08.2006, 16:13

Hallo,

Zitat:

Nun, ich sagte ja nicht, das es ein Backdoor Befall gibt.

Irgendwie schon, impliziert für mich die Aussage:

Zitat:

Lässt auf einen Backdoor Befall schhließen.

Zitat:

Aber ich habe mal von jemanden gehört oder war es gelesen, das eine Umleitung oft mit einem Backdoor zusammen hängt.

Gelesen habe ich das auch, geglaubt habe ich es nicht, ich sehe da einfach keinen Zusammenhang. Wäre ähnlich wie wenn man sagt, das verändern der Startseite deutet auf einen Backdoor hin.

Zitat:

was eigentlich das Problem an so einer Umleitung ist! Das habe ich nämlich noch nicht verstanden......

Mach ich mal ohne große technische Details, also, um Internetaddressen einen größeren Merkfaktor zu geben hat man ihnen Namen zugeteilt, wie z.B. www.google.de. Eigentlich werden aber diese Seiten über eine IP angesteuert, bei google.de z.B. 216.239.57.104, diese Nummern sind aber nicht einfach zu behalten, daher die Namen. Jetzt brauch man einen Server der den jeweiligen Namen die richtige IP zuordnet, diese Server sitzen bei deinem ISP.
Jetzt sind aber hier bei dem TE die Adressen dieser Server vertauscht worden, mit welchen die in der Ukraine sitzen, damit kann man jetzt natürlich einen haufen "Schabernack" treiben, was z.B. häufig gemacht wird ist die Google Suchergebnisse umzuleiten (User klickt auf Link, gibt somit einen Domainnamen im Browser ein, Server aus der Ukraine soll diesen den google Ergbnissen zuordnen, tut dieses aber nicht, sondern leitet ihn zu einer IP des Sponsors um).
Was man damit allerdings auch ohne Probleme machen könnte (wird teilweise auch gemach):
User gibt deutsch-bank.de ein Server leitet auf die aktuellste Pfishingseite um, und schon kann das Unglück seinen Lauf nehmen. Vorteil zum "normalen" Pfishing, man kann immer auf die neu aufgemachte Seite umleiten, da naturgemäß solche Seiten sehr schnell wieder geschloßen werden, man muss also nur den Server in der Ukraine immerwieder updaten und nicht den PC des Users.

Ich hoffe ich habe es einigermaßen verständlich erklärt und bin trotzdem technisch korrekt geblieben.

Grüße Wildone

Mellosun · 01.08.2006, 16:38

Zitat:

Zitat von Wildone

Ich hoffe ich habe es einigermaßen verständlich erklärt und bin trotzdem technisch korrekt geblieben.

Ja bist du und ein großes Dankeschön an Dich. Sowas in der Art hatte ich mir gedacht! Jetzt bin ich wieder ein wenig schlauer.....Danke!

Gruß Mellosun

stringx1 · 04.08.2006, 16:22

Hallo nochmal und danke für die Antwort.

Wollte nur mitteilen, das diese nervige Razespywaremitteilung vom Desktop verschwunden ist, ohne Neuaufsetzung des Sytems.

Aber auch erst nachdem ich CCleaner und nochmals ewido-antispyware im abgesicherten Modus benutzt habe. Hatte dann ein grau-weißblinkenden Hintergrund, wobei ich aber die rechte Maustaste wieder benutzen konnte, die mir ja verwehrt blieb solange diese Warnung auf dem Desktop prangerte. Gelöst habe ich das Problem mit dem grau-weißen Hintergrund über <Eigenschaften Anzeige> <Desktop> <Desktop anpassen> <web>. Habe den Hacken aus security entfernt.

Jetzt ist wieder der gute alte Desktophintergrund zu sehen. Konnte auch die Datei C:\WINDOWS\system32\eeppu.exe nicht mehr finden. Auch nicht mehr in der logfile von hijackthis.

Ich habe übrigens nur das Problem, die O17 Einträge in der HKLM zu entfernen. Habe diese Einträge im abgesicherten Modus mit HijackThis gefixt, waren aber beim nächsten Hochfahren des Systems wieder anwesend. Bin etwas überfragt wie ich sie sonst noch wegbekomme.

LG
stringx1

felix1 · 04.08.2006, 18:15

Poste nochmals ein Log von HJT.

stringx1 · 04.08.2006, 18:58

Hallo felix,

hier das neue logfile

Logfile of HijackThis v1.99.1
Scan saved at 19:51:12, on 04.08.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\tppaldr.exe
C:\WINDOWS\tppnttry.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Corel\Graphics8\Programs\MFIndexer.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Dokumente und Einstellungen\User 1\Eigene Dateien\HijackThis\HijackThis.exe
C:\WINDOWS\system32\wuauclt.exe

O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: SearchToolbar - {08BEC6AA-49FC-4379-3587-4B21E286C19E} - (no file)
O3 - Toolbar: SearchToolbar - {08BEC6AA-49FC-4379-3587-4B21E286C19E} - (no file)
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [TPP Auto Loader] C:\WINDOWS\tppaldr.exe
O4 - HKLM\..\Run: [Zone Labs Client] C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
O4 - HKLM\..\Run: [uxgfy.exe] C:\WINDOWS\system32\uxgfy.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit
O4 - Global Startup: Corel MEDIA FOLDERS INDEXER 8.LNK = C:\Corel\Graphics8\Programs\MFIndexer.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll
O17 - HKLM\System\CCS\Services\Tcpip\..\{04A37543-3A34-4A74-B767-06A1FC13231B}: NameServer = 85.255.115.34,85.255.112.63
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.115.34 85.255.112.63
O17 - HKLM\System\CS1\Services\Tcpip\..\{04A37543-3A34-4A74-B767-06A1FC13231B}: NameServer = 85.255.115.34,85.255.112.63
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.115.34 85.255.112.63
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

LG
stringx1

felix1 · 04.08.2006, 19:13

Der PC ist nicht sauber.
Prüfe das System mit F-Secure Blacklight und poste danach das Logfile.

Prüfe Dein System mit Ewido http://www.ewido.net/de/ Lasse alles löschen, was vorgeschlagen wird. Poste das Ergebnis.

Wenn Du damit fertig bist, erstelle ein Log-File mit HJT und poste es.

stringx1 · 04.08.2006, 20:41

Habe das system mit F-Secure Blacklight gescannt. Wurde aber nichts gefunden. Habe danach mit ewido gescannt im abgesicherten Modus->wurde auch nichts gefunden. Weiter gescannt mit ewido im normalen Modus -> hat den TrojanerDNSChanger.ef gefunden. Wollte ihn löschen, ließ sich aber nicht machen. Habe dann nochmal die O17 Einträge gefixt und habe die backup-Einträge gelöscht. Habe das system wieder hochgefahren und ewido hat diesmal keinen Trojaner mehr gefunden. Allerdings sind die O17-Einträge immernoch da.

logfile folgt

Wildone · 04.08.2006, 20:46

Hallo,
poste mal die genauen Meldungen von Ewido (incl. genauem Pfad). Ev. kannst du auch mal die vier Logfiles der Datfind.bat posten, aber nur die Dateien der letzten drei Monate abkopieren.

Grüße Wildone

stringx1 · 05.08.2006, 14:04

Hallöchen,

also hier das Ergebnis der datfindbat

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: F4B6-F305

Verzeichnis von C:\WINDOWS\system32

05.08.2006 14:35 31.767 vsconfig.xml
04.08.2006 16:51 4.212 zllictbl.dat
04.08.2006 16:22 278.045 {F0F1CCC4-15BE-4097-A6F5-566D078473E7}.exe
04.08.2006 11:11 341.032 FNTCACHE.DAT
04.08.2006 09:13 2.206 wpa.dbl
27.07.2006 10:37 278.045 {368F3173-8724-4355-8008-44279C8124BA}.exe
24.07.2006 18:56 278.045 {4FAE9C4E-35D4-4463-9CF3-3FA239EEDBF0}.exe
24.07.2006 18:55 705 {8E1B8557-EBDB-4D65-A98F-90871AF62D92}.exe
23.07.2006 10:59 45.568 {BDE49DA4-D303-4F16-B286-E25131E2976C}.exe
23.07.2006 06:21 51.268 csjsu.exe
22.07.2006 19:51 57.384 avsda.dll
21.07.2006 14:00 311.604 perfh009.dat
21.07.2006 14:00 316.594 perfh007.dat
21.07.2006 14:00 39.992 perfc009.dat
21.07.2006 14:00 48.156 perfc007.dat
21.07.2006 14:00 723.744 PerfStringBackup.INI
01.06.2006 20:47 163.840 jgdw400.dll
01.06.2006 20:47 27.648 jgpl400.dll
19.05.2006 15:09 95.744 iphlpapi.dll
19.05.2006 15:09 148.480 dnsapi.dll
19.05.2006 15:09 112.128 dhcpcsvc.dll
18.05.2006 07:36 450.560 jscript.dll
16.05.2006 10:38 499.712 msvcp71.dll

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: F4B6-F305

Verzeichnis von C:\DOKUME~1\USER1~1\LOKALE~1\Temp

05.08.2006 14:38 512 ~DF5F04.tmp
05.08.2006 14:38 512 ~DF5B93.tmp
05.08.2006 14:35 16.384 ~DF464C.tmp
04.08.2006 21:46 16.384 ~DF560D.tmp
04.08.2006 21:21 16.384 ~DF4D82.tmp
04.08.2006 21:16 16.384 ~DFF033.tmp
6 Datei(en) 66.560 Bytes
0 Verzeichnis(se), 14.653.419.520 Bytes frei

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: F4B6-F305

Verzeichnis von C:\WINDOWS

05.08.2006 14:40 89.124 WindowsUpdate.log
05.08.2006 14:35 84.085 setupapi.log
05.08.2006 14:35 0 0.log
05.08.2006 14:34 2.048 bootstat.dat
04.08.2006 21:50 884 SchedLgU.Txt
04.08.2006 21:46 923 spupdsvc.log
04.08.2006 21:26 33.159 iis6.log
04.08.2006 21:26 10.252 comsetup.log
04.08.2006 21:26 14.105 tsoc.log
04.08.2006 21:26 1.555 tabletoc.log
04.08.2006 21:26 1.355 imsins.log
04.08.2006 21:26 1.710 ocmsn.log
04.08.2006 21:26 6.217 ntdtcsetup.log
04.08.2006 21:26 9.434 KB917159.log
04.08.2006 21:26 2.125 MedCtrOC.log
04.08.2006 21:26 5.415 netfxocm.log
04.08.2006 21:26 14.580 ocgen.log
04.08.2006 21:26 1.545 msgsocm.log
04.08.2006 21:26 30.912 FaxSetup.log
04.08.2006 21:26 9.330 msmqinst.log
04.08.2006 21:26 1.355 imsins.BAK
04.08.2006 21:26 22.964 KB911564.log
04.08.2006 21:26 148 wmsetup.log
04.08.2006 21:26 9.409 KB918439.log
04.08.2006 21:25 10.143 KB914388.log
04.08.2006 21:25 825 updspapi.log
04.08.2006 21:25 8.259 KB917344.log
04.08.2006 21:25 0 setuperr.log
04.08.2006 21:25 0 setupact.log
04.08.2006 20:40 35.966 ModemLog_Sitecom 56k USB modem DC-009v3.001a.txt
30.07.2006 15:09 200.704 Bilder.exe
24.07.2006 18:38 6.400 balloon.wav
24.07.2006 18:25 4.517 rdt.ini
23.07.2006 06:02 1.082.279 setupapi.log.0.old
22.07.2006 18:49 5.900 ModemLog_Dr. Neuhaus CYBERMOD 33.6 V.34+ VOICE #2.txt
20.06.2006 20:37 4.524 ModemLog_Kommunikationskabel zwischen zwei Computern.txt
14.06.2006 18:28 3.040 ModemLog_Dr. Neuhaus CYBERMOD 33.6 V.34+ VOICE.txt
30.05.2006 12:19 11.572 ModemLog_Sportster MessagePlus Pro V90 PnP.txt
13.05.2006 12:50 763 win.ini

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: F4B6-F305

Verzeichnis von C:\

05.08.2006 14:43 0 sys.txt
05.08.2006 14:42 5.514 system.txt
05.08.2006 14:41 539 systemtemp.txt
05.08.2006 14:40 95.832 system32.txt
05.08.2006 14:34 535.904.256 hiberfil.sys
05.08.2006 14:34 805.306.368 pagefile.sys
24.07.2006 18:24 3.168 cclog.txt
30.03.2006 20:41 211 boot.ini
30.03.2006 20:32 47.564 NTDETECT.COM
30.03.2006 20:32 251.184 ntldr
18.03.2006 13:12 0 CONFIG.SYS
18.03.2006 13:12 0 IO.SYS
18.03.2006 13:12 0 MSDOS.SYS
18.03.2006 13:12 0 AUTOEXEC.BAT
21.07.2003 23:32 4.952 bootfont.bin
15 Datei(en) 1.341.619.588 Bytes
0 Verzeichnis(se), 14.653.390.848 Bytes frei

Das war es erstmal dazu
hier der ewido-bericht. Trojaner ist doch noch vorhanden.
ewido anti-spyware - Scan-Bericht
---------------------------------------------------------

+ Erstellt um: 21:49:21 04.08.2006

+ Scan-Ergebnis:

[1188] VM_01110000 -> Trojan.DNSChanger.ef : Fehler während der Säuberung.
[2020] VM_003B0000 -> Trojan.DNSChanger.ef : Fehler während der Säuberung.

::Berichtende

Pfad folgt

Lg
stringx1

Wildone · 05.08.2006, 14:13

Hallo,
lösche mal folgende Dateien (alle im System32 Ordner) mit killbox mit der Option "delete on reboot":

04.08.2006 16:22 278.045 {F0F1CCC4-15BE-4097-A6F5-566D078473E7}.exe
27.07.2006 10:37 278.045 {368F3173-8724-4355-8008-44279C8124BA}.exe
24.07.2006 18:56 278.045 {4FAE9C4E-35D4-4463-9CF3-3FA239EEDBF0}.exe
24.07.2006 18:55 705 {8E1B8557-EBDB-4D65-A98F-90871AF62D92}.exe
23.07.2006 10:59 45.568 {BDE49DA4-D303-4F16-B286-E25131E2976C}.exe
23.07.2006 06:21 51.268 csjsu.exe

danach machst du einen Onlinescan bei Panda und postest das Ergebnis.

Edit
Überprüfe mal die Datei C:\Windows\Bilder.exe hier und poste das Ergebnis.

Grüße Wildone

stringx1 · 06.08.2006, 18:01

Hi

hier die Auswertung von Panda-acitvescan>lokale Laufwerke:

Ereignis Zustand Standort

Virus:Trj/Ruins.MB
Spyware:Cookie/Mediaplex
Adware:adware/winprotect
Dialer

ialer.Gen
Adware:adware/sbsoft

die Auswertung von Virustotal - Bilder.exe:

STATUS: FINISHEDComplete scanning result of "Bilder.exe", received in VirusTotal at 08.06.2006, 18:33:51 (CET).

Antivirus Version Update Result
AntiVir 6.35.1.0 08.05.2006 no virus found
Authentium 4.93.8 08.06.2006 no virus found
Avast 4.7.844.0 08.04.2006 no virus found
AVG 386 08.05.2006 no virus found
BitDefender 7.2 08.06.2006 no virus found
CAT-QuickHeal 8.00 08.04.2006 no virus found
ClamAV devel-20060426 08.06.2006 no virus found
DrWeb 4.33 08.06.2006 no virus found
eTrust-InoculateIT 23.72.88 08.06.2006 no virus found
eTrust-Vet 12.6.2324 08.04.2006 no virus found
Ewido 4.0 08.06.2006 no virus found
Fortinet 2.77.0.0 08.06.2006 suspicious
F-Prot 3.16f 08.06.2006 no virus found
F-Prot4 4.2.1.29 08.06.2006 no virus found
Ikarus 0.2.65.0 08.04.2006 no virus found
Kaspersky 4.0.2.24 08.06.2006 no virus found
McAfee 4822 08.04.2006 potentially unwanted program Dialer-RAS
Microsoft 1.1508 08.04.2006 no virus found
NOD32v2 1.1694 08.05.2006 a variant of Win32/Dialer.WarpMedia
Norman 5.90.23 08.04.2006 no virus found
Panda 9.0.0.4 08.06.2006 Dialer.Gen
Sophos 4.08.0 08.06.2006 no virus found
Symantec 8.0 08.06.2006 no virus found
TheHacker 5.9.8.186 08.04.2006 no virus found
UNA 1.83 08.04.2006 no virus found
VBA32 3.11.0 08.06.2006 no virus found
VirusBuster 4.3.7:9 08.06.2006 no virus found

Aditional Information
File size: 200704 bytes
MD5: 402948acd2e374e9b4241c6a15fbf482
SHA1: 3228bc0fdb68e5128a981336fd0af5d2da80afc4
packers: UPX

LG
stringx1

04.08.2006, 18:15	#8
felix1 /// Helfer-Team	Probleme mit RazeSpyware Poste nochmals ein Log von HJT. __________________ LG Der Felix Keine Hilfe per PN und E-Mail

04.08.2006, 19:13	#10
felix1 /// Helfer-Team	Probleme mit RazeSpyware Der PC ist nicht sauber. Prüfe das System mit F-Secure Blacklight und poste danach das Logfile. Prüfe Dein System mit Ewido http://www.ewido.net/de/ Lasse alles löschen, was vorgeschlagen wird. Poste das Ergebnis. Wenn Du damit fertig bist, erstelle ein Log-File mit HJT und poste es. __________________ LG Der Felix Keine Hilfe per PN und E-Mail

Probleme mit RazeSpyware

Log-Analyse und Auswertung: Probleme mit RazeSpyware