Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: Probleme mit RazeSpyware

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML.

Antwort
Alt 01.08.2006, 10:24   #1
stringx1
 
Probleme mit RazeSpyware - Icon24

Probleme mit RazeSpyware



Hallo an alle,

Ich habe seit kurzer Zeit den Rechner einer Freundin bei mir. Das Problem ist, das seit kurzem anstatt ihr Desktopbild, ein rot-schwarzer Hintergrund mit blinkender Warnung "DANGER:SPYWARE" prangert. Er zeigt mir an, dass das System mit spyware, spyware tracks usw. verunreinigt ist. Darunter befinden sich Razespyware-Verlinkungen mit dem Hinweis das man dafür ca. 50 $ bezahlen soll.
Daraufhin habe ich im abgesicherte Modus scans gemacht und auch einiges beseitigt. Jetzt ist das Problem wie bekomme ich diese Ausgabe von der Desktopoberfläche.

Hier mal die Hijacklogfiles des Rechners.

Logfile of HijackThis v1.99.1
Scan saved at 08:44:57, on 01.08.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\tppaldr.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Corel\Graphics8\Programs\MFIndexer.exe
C:\Programme\WEB.DE\WEB.DE SmartSurfer\SmartSurfer.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\tppnttry.exe
C:\Dokumente und Einstellungen\User 1\Eigene Dateien\HijackThis\HijackThis.exe

O1 - Hosts: localhost 127.0.0.1
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: SearchToolbar - {08BEC6AA-49FC-4379-3587-4B21E286C19E} - (no file)
O3 - Toolbar: SearchToolbar - {08BEC6AA-49FC-4379-3587-4B21E286C19E} - (no file)
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [TPP Auto Loader] C:\WINDOWS\tppaldr.exe
O4 - HKLM\..\Run: [eeppu.exe] C:\WINDOWS\system32\eeppu.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit
O4 - Startup: WEB.DE SmartSurfer.lnk = C:\Programme\WEB.DE\WEB.DE SmartSurfer\SmartSurfer.exe
O4 - Global Startup: Corel MEDIA FOLDERS INDEXER 8.LNK = C:\Corel\Graphics8\Programs\MFIndexer.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll
O17 - HKLM\System\CCS\Services\Tcpip\..\{04A37543-3A34-4A74-B767-06A1FC13231B}: NameServer = 85.255.115.34,85.255.112.63
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.115.34 85.255.112.63
O17 - HKLM\System\CS1\Services\Tcpip\..\{04A37543-3A34-4A74-B767-06A1FC13231B}: NameServer = 85.255.115.34,85.255.112.63
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.115.34 85.255.112.63
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

Ich hoffe ihr könnt mir weiterhelfen. Danke an euch
mfg stringx1

Alt 01.08.2006, 14:52   #2
Mellosun
 
Probleme mit RazeSpyware - Standard

Probleme mit RazeSpyware



Hallo,


Zitat:
Zitat von stringx1
Jetzt ist das Problem wie bekomme ich diese Ausgabe von der Desktopoberfläche.
Ganz Einfach: Klick .

Und der Grund:

Zitat:
Zitat von stringx1
O17 - HKLM\System\CCS\Services\Tcpip\..\{04A37543-3A34-4A74-B767-06A1FC13231B}: NameServer = 85.255.115.34,85.255.112.63
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.115.34 85.255.112.63
O17 - HKLM\System\CS1\Services\Tcpip\..\{04A37543-3A34-4A74-B767-06A1FC13231B}: NameServer = 85.255.115.34,85.255.112.63
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.115.34 85.255.112.63
Umleitung über die Ukraine. Lässt auf einen Backdoor Befall schhließen.


Gruß Mellosun
__________________

__________________

Alt 01.08.2006, 15:26   #3
Wildone
 
Probleme mit RazeSpyware - Standard

Probleme mit RazeSpyware



Hallo,
Zitat:
Lässt auf einen Backdoor Befall schhließen.
Quelle?
Ich sehe keinen zwingenden Zusammenhang zwischen dem verändern der DNS und einer Backdoorkomponente.
Neuaufsetzen könnte man trotzdem in Erwägung ziehen, da es kompliziert werden könnte.
Falls nicht gewünscht, beende mal den Prozess C:\WINDOWS\tppnttry.exe im Taskmanager, überprüfe die zugehörige Datei hier und poste das Ergebnis.

Edit
Falls vorhanden die Datei C:\WINDOWS\system32\eeppu.exe ebenfalls prüfen.



Grüße Wildone
__________________

Alt 01.08.2006, 15:39   #4
Mellosun
 
Probleme mit RazeSpyware - Standard

Probleme mit RazeSpyware



Hallo,

Zitat:
Zitat von Wildone
Quelle?
Ich sehe keinen zwingenden Zusammenhang zwischen dem verändern der DNS und einer Backdoorkomponente.
Nun, ich sagte ja nicht, das es ein Backdoor Befall gibt. Aber ich habe mal von jemanden gehört oder war es gelesen, das eine Umleitung oft mit einem Backdoor zusammen hängt.
Natürlich lasse ich es mir gern erklären, wie das zustande kommt, falls meine Infos falsch sind!
Und wenn das jemand mal machen würde, könnte er mir auch gleich beantworten, was eigentlich das Problem an so einer Umleitung ist! Das habe ich nämlich noch nicht verstanden......


Gruß Mellosun

Alt 01.08.2006, 16:13   #5
Wildone
 
Probleme mit RazeSpyware - Standard

Probleme mit RazeSpyware



Hallo,
Zitat:
Nun, ich sagte ja nicht, das es ein Backdoor Befall gibt.
Irgendwie schon, impliziert für mich die Aussage:
Zitat:
Lässt auf einen Backdoor Befall schhließen.
Zitat:
Aber ich habe mal von jemanden gehört oder war es gelesen, das eine Umleitung oft mit einem Backdoor zusammen hängt.
Gelesen habe ich das auch, geglaubt habe ich es nicht, ich sehe da einfach keinen Zusammenhang. Wäre ähnlich wie wenn man sagt, das verändern der Startseite deutet auf einen Backdoor hin.
Zitat:
was eigentlich das Problem an so einer Umleitung ist! Das habe ich nämlich noch nicht verstanden......
Mach ich mal ohne große technische Details, also, um Internetaddressen einen größeren Merkfaktor zu geben hat man ihnen Namen zugeteilt, wie z.B. www.google.de. Eigentlich werden aber diese Seiten über eine IP angesteuert, bei google.de z.B. 216.239.57.104, diese Nummern sind aber nicht einfach zu behalten, daher die Namen. Jetzt brauch man einen Server der den jeweiligen Namen die richtige IP zuordnet, diese Server sitzen bei deinem ISP.
Jetzt sind aber hier bei dem TE die Adressen dieser Server vertauscht worden, mit welchen die in der Ukraine sitzen, damit kann man jetzt natürlich einen haufen "Schabernack" treiben, was z.B. häufig gemacht wird ist die Google Suchergebnisse umzuleiten (User klickt auf Link, gibt somit einen Domainnamen im Browser ein, Server aus der Ukraine soll diesen den google Ergbnissen zuordnen, tut dieses aber nicht, sondern leitet ihn zu einer IP des Sponsors um).
Was man damit allerdings auch ohne Probleme machen könnte (wird teilweise auch gemach):
User gibt deutsch-bank.de ein Server leitet auf die aktuellste Pfishingseite um, und schon kann das Unglück seinen Lauf nehmen. Vorteil zum "normalen" Pfishing, man kann immer auf die neu aufgemachte Seite umleiten, da naturgemäß solche Seiten sehr schnell wieder geschloßen werden, man muss also nur den Server in der Ukraine immerwieder updaten und nicht den PC des Users.

Ich hoffe ich habe es einigermaßen verständlich erklärt und bin trotzdem technisch korrekt geblieben.



Grüße Wildone


Alt 01.08.2006, 16:38   #6
Mellosun
 
Probleme mit RazeSpyware - Standard

Probleme mit RazeSpyware



Zitat:
Zitat von Wildone
Ich hoffe ich habe es einigermaßen verständlich erklärt und bin trotzdem technisch korrekt geblieben.
Ja bist du und ein großes Dankeschön an Dich. Sowas in der Art hatte ich mir gedacht! Jetzt bin ich wieder ein wenig schlauer.....Danke!



Gruß Mellosun
__________________
--> Probleme mit RazeSpyware

Antwort

Themen zu Probleme mit RazeSpyware
adobe, antivir, avira, bho, danger, dateien, dll, einstellungen, explorer, hijackthis, hintergrund, internet, internet explorer, messenger, microsoft, nvidia, problem, programme, rundll, spyware, system, system32, warnung, web.de, windows, windows xp




Ähnliche Themen: Probleme mit RazeSpyware


  1. Win 7 64bit: Internet / Performance / Downstream probleme durch angebliche port probleme !
    Log-Analyse und Auswertung - 26.04.2014 (19)
  2. Windows 7: Verdacht auf Trojaner (Probleme über Probleme)
    Log-Analyse und Auswertung - 18.03.2014 (10)
  3. Probleme mit FRST gemäß Anleitung AW:Probleme mit static.australianbrewingcompany.com
    Plagegeister aller Art und deren Bekämpfung - 19.01.2014 (41)
  4. Firefox probleme :advertisement popups,download probleme
    Plagegeister aller Art und deren Bekämpfung - 09.04.2010 (18)
  5. pc probleme
    Log-Analyse und Auswertung - 25.04.2009 (0)
  6. Probleme mit ff und ie
    Plagegeister aller Art und deren Bekämpfung - 28.06.2008 (27)
  7. Probleme mit idd*.tmp.exe und w*.tmp.exe
    Plagegeister aller Art und deren Bekämpfung - 08.02.2007 (4)
  8. Need Help! Probleme über Probleme ...
    Log-Analyse und Auswertung - 22.12.2006 (5)
  9. Probleme mit pc -.-
    Log-Analyse und Auswertung - 03.08.2006 (3)
  10. RazeSpyware - Wie werde ich es los???
    Log-Analyse und Auswertung - 21.07.2006 (2)
  11. razespyware
    Plagegeister aller Art und deren Bekämpfung - 19.01.2006 (18)
  12. RazeSpyware
    Log-Analyse und Auswertung - 22.11.2005 (17)
  13. neuling braucht hilfe bei razespyware
    Log-Analyse und Auswertung - 14.10.2005 (7)
  14. IE probleme
    Log-Analyse und Auswertung - 19.06.2005 (4)
  15. Probleme mit dem IE
    Plagegeister aller Art und deren Bekämpfung - 25.12.2004 (7)
  16. probleme bei MSN
    Plagegeister aller Art und deren Bekämpfung - 24.12.2004 (1)
  17. BIN NEU mit probleme
    Plagegeister aller Art und deren Bekämpfung - 19.12.2004 (18)

Zum Thema Probleme mit RazeSpyware - Hallo an alle, Ich habe seit kurzer Zeit den Rechner einer Freundin bei mir. Das Problem ist, das seit kurzem anstatt ihr Desktopbild, ein rot-schwarzer Hintergrund mit blinkender Warnung "DANGER:SPYWARE" - Probleme mit RazeSpyware...
Archiv
Du betrachtest: Probleme mit RazeSpyware auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.