Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: Warning Spayware detectet...

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 06.06.2008, 23:32   #1
GShock2
Gesperrt
 
Warning Spayware detectet... - Standard

Warning Spayware detectet...



Hallo,

Seit einigen Tagen bekomm ich wenn ich den PC neu starte automatisch den Bildschirmhintergund in: Warning! Spayware detectet on your Computer!!!
Install an antivirus or spayware remover...

Auserdem öffnen sich automatisch seiten mit antvir programmen zum downloaden

Und wenn ich auf download klicke zeigt mein Anti vir ( avast) an das es ein virus sei

ich hab gleich mal ein HijackThis gemacht:


Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 00:21:26, on 07.06.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16640)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
C:\Programme\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Programme\Analog Devices\SoundMAX\DrvLsnr.exe
C:\Programme\Microsoft Office\Office12\GrooveMonitor.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\system32\lphcebbj0eabj.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Skype\Phone\Skype.exe
C:\Programme\Windows Live\Messenger\MsnMsgr.Exe
C:\Programme\DNA\btdna.exe
C:\Dokumente und Einstellungen\XXX\Eigene Dateien\Sonstige\ICQ6\ICQ.exe
C:\Programme\Alwil Software\Avast4\ashMaiSv.exe
C:\Programme\Alwil Software\Avast4\ashWebSv.exe
C:\Dokumente und Einstellungen\XXX\Eigene Dateien\Sonstige\Vista skin\Vista Inspirat 2\UberIcon\UberIcon Manager.exe
C:\Dokumente und Einstellungen\XXX\Eigene Dateien\Sonstige\x-fire\Xfire\xfire.exe
C:\Programme\Skype\Plugin Manager\skypePM.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WLLoginProxy.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashQuick.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
O2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - (no file)
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: ShoppingReport - {100EB1FD-D03E-47FD-81F3-EE91287F9465} - C:\Programme\ShoppingReport\Bin\2.5.0\ShoppingReport.dll
O2 - BHO: (no name) - {10B5E5C2-8901-4E3C-BF61-AC6E11039292} - C:\WINDOWS\system32\tuvTkjJa.dll (file missing)
O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\Programme\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\PROGRA~1\MICROS~2\Office12\GRA8E1~1.DLL
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O3 - Toolbar: atfxqogp - {910EF077-8B76-4A3C-B201-A5CAABA866F8} - C:\WINDOWS\atfxqogp.dll
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [DrvLsnr] C:\Programme\Analog Devices\SoundMAX\DrvLsnr.exe
O4 - HKLM\..\Run: [NBKeyScan] "C:\Programme\Nero\Nero8\Nero BackItUp\NBKeyScan.exe"
O4 - HKLM\..\Run: [GrooveMonitor] "C:\Programme\Microsoft Office\Office12\GrooveMonitor.exe"
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [advap32] C:\DOKUME~1\Martin\LOKALE~1\Temp\rbnpsrv.exe/r
O4 - HKLM\..\Run: [lphcebbj0eabj] C:\WINDOWS\system32\lphcebbj0eabj.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [BitTorrent DNA] "C:\Programme\DNA\btdna.exe"
O4 - HKCU\..\Run: [IndxStoreSvr_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Nero\Lib\NMIndexStoreSvr.exe" ASO-616B5711-6DAE-4795-A05F-39A1E5104020
O4 - HKCU\..\Run: [ICQ] "C:\Dokumente und Einstellungen\XXX\Eigene Dateien\Sonstige\ICQ6\ICQ.exe" silent
O4 - HKCU\..\Run: [updateMgr] "C:\Programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" AcRdB7_0_8 -reboot 1
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: UberIcon.lnk = C:\Dokumente und Einstellungen\Martin\Eigene Dateien\Sonstige\Vista skin\Vista Inspirat 2\UberIcon\UberIcon Manager.exe
O4 - Startup: Xfire.lnk = C:\Dokumente und Einstellungen\XXX\Eigene Dateien\Sonstige\x-fire\Xfire\xfire.exe
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Programme\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: ShopperReports - Compare product prices - {C5428486-50A0-4a02-9D20-520B59A9F9B2} - C:\Programme\ShoppingReport\Bin\2.5.0\ShoppingReport.dll
O9 - Extra button: ShopperReports - Compare travel rates - {C5428486-50A0-4a02-9D20-520B59A9F9B3} - C:\Programme\ShoppingReport\Bin\2.5.0\ShoppingReport.dll
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Dokumente und Einstellungen\Martin\Eigene Dateien\Sonstige\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Dokumente und Einstellungen\Martin\Eigene Dateien\Sonstige\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {67A5F8DC-1A4B-4D66-9F24-A704AD929EEE} (System Requirements Lab) - http://www.nvidia.com/content/DriverDownload/srl/2.0.0.1/sysreqlab2.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{C3B45453-C46E-4E18-AB01-F1F6E427B97E}: NameServer = 217.237.150.141,194.25.2.129
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\PROGRA~1\MICROS~2\Office12\GR99D3~1.DLL
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O20 - Winlogon Notify: tuvTkjJa - tuvTkjJa.dll (file missing)
O20 - Winlogon Notify: WinCtrl32 - WinCtrl32.dll (file missing)
O21 - SSODL: vltdfabw - {EF8CC376-DB07-4991-8C57-D720C1514CA6} - C:\WINDOWS\vltdfabw.dll (file missing)
O21 - SSODL: vregfwlx - {2C9AC911-A211-46B0-A252-3A7CA2C10064} - C:\WINDOWS\vregfwlx.dll
O23 - Service: Adobe LM Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programme\Analog Devices\SoundMAX\SMAgent.exe

--
End of file - 8926 bytes

Ich hoffe mir kann einer helfen will meinen PC nicht schon wieder formatieren -.-

Danke im vorraus schonmal

Alt 06.06.2008, 23:50   #2
Sunny
Administrator
> Competence Manager
 

Warning Spayware detectet... - Standard

Warning Spayware detectet...



Hallo und




ComboFix
  • Lade dir das Tool hier herunter auf den Desktop -> KLICK
Das Programm jedoch noch nicht starten sondern zuerst folgendes tun:
  • Schliesse alle Anwendungen und Programme, vor allem deine Antiviren-Software und andere Hintergrundwächter, sowie deinen Internetbrowser.
    Vermeide es auch explizit während das Combofix läuft die Maus und Tastatur zu benutzen.
  • Starte nun die combofix.exe von deinem Desktop aus, bestätige die Warnmeldungen und lass dein System durchsuchen.
  • Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte abkopieren und in deinen Beitrag einfügen. Das log findest du außerdem unter: C:\ComboFix.txt.
Wichtiger Hinweis:
Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.
Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten.

(ausführliche Anleitung -> Ein Leitfaden und Tutorium zur Nutzung von ComboFix)
__________________

__________________

Alt 07.06.2008, 12:43   #3
GShock2
Gesperrt
 
Warning Spayware detectet... - Standard

Warning Spayware detectet...



danke erstmal für deine antwort

so hab das mit dem Combofix da genau so gemacht wie es angegeben war und das kam dabei raus:


ComboFix 08-06-06.6 - Martin 2008-06-07 13:24:53.1 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1252.1.1031.18.1114 [GMT 2:00]
ausgeführt von:: C:\Dokumente und Einstellungen\Martin\Desktop\ComboFix.exe

WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!
.

(((((((((((((((((((((((((((((((((((( Weitere L”schungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\Dokumente und Einstellungen\Martin\Anwendungsdaten\ShoppingReport
C:\Dokumente und Einstellungen\Martin\Anwendungsdaten\ShoppingReport\cs\Config.xml
C:\Dokumente und Einstellungen\Martin\Anwendungsdaten\ShoppingReport\cs\db\Aliases.dbs
C:\Dokumente und Einstellungen\Martin\Anwendungsdaten\ShoppingReport\cs\db\Sites.dbs
C:\Dokumente und Einstellungen\Martin\Anwendungsdaten\ShoppingReport\cs\dwld\WhiteList.xip
C:\Dokumente und Einstellungen\Martin\Anwendungsdaten\ShoppingReport\cs\report\aggr_storage.xml
C:\Dokumente und Einstellungen\Martin\Anwendungsdaten\ShoppingReport\cs\report\send_storage.xml
C:\Dokumente und Einstellungen\Martin\Anwendungsdaten\ShoppingReport\cs\res1\WhiteList.dbs
C:\Programme\ShoppingReport
C:\Programme\ShoppingReport\Uninst.exe
C:\WINDOWS\atfxqogp.dll
C:\WINDOWS\system32\_000007_.tmp.dll
C:\WINDOWS\system32\_000008_.tmp.dll
C:\WINDOWS\system32\_000009_.tmp.dll
C:\WINDOWS\system32\msssc.dll
C:\WINDOWS\vregfwlx.dll
C:\WINDOWS\xmpstean.exe

.
((((((((((((((((((((((( Dateien erstellt von 2008-05-07 bis 2008-06-07 ))))))))))))))))))))))))))))))
.

2008-06-07 00:20 . 2008-06-07 00:20 <DIR> d-------- C:\Programme\Trend Micro
2008-06-06 19:18 . 2008-06-06 19:18 <DIR> d-------- C:\Dokumente und Einstellungen\Martin\Anwendungsdaten\AXPFixer
2008-06-05 16:00 . 2008-06-05 16:00 <DIR> d-------- C:\Programme\GameSpy Arcade
2008-06-04 13:46 . 2008-06-03 13:52 163,840 --a------ C:\WINDOWS\esbq.exe
2008-06-04 13:42 . 2008-06-04 13:42 <DIR> d-------- C:\Dokumente und Einstellungen\Martin\Anwendungsdaten\shc9bbj0eabj
2008-06-04 13:41 . 2008-06-04 13:41 92,160 --a------ C:\WINDOWS\system32\lphcebbj0eabj.exe
2008-06-04 13:41 . 2008-06-07 13:30 90,838 --a------ C:\WINDOWS\system32\phcebbj0eabj.bmp
2008-06-04 13:41 . 2008-06-07 13:30 52,736 --a------ C:\WINDOWS\system32\blphcebbj0eabj.scr
2008-06-01 19:32 . 2008-06-01 19:32 311 --a------ C:\WINDOWS\game.ini
2008-06-01 19:14 . 2008-06-01 19:14 <DIR> d-------- C:\Programme\Activision
2008-06-01 17:47 . 2008-06-01 17:47 <DIR> d--hs---- C:\WINDOWS\ftpcache
2008-06-01 17:46 . 2008-06-06 21:34 107,832 --a------ C:\WINDOWS\system32\PnkBstrB.exe
2008-06-01 17:46 . 2008-06-05 19:26 66,872 --a------ C:\WINDOWS\system32\PnkBstrA.exe
2008-06-01 17:46 . 2008-06-06 21:37 22,328 --a------ C:\WINDOWS\system32\drivers\PnkBstrK.sys
2008-06-01 17:46 . 2008-06-01 20:25 22,328 --a------ C:\Dokumente und Einstellungen\Martin\Anwendungsdaten\PnkBstrK.sys
2008-06-01 08:28 . 2008-06-01 08:28 <DIR> d-------- C:\WINDOWS\system32\AGEIA
2008-06-01 08:28 . 2008-06-01 08:28 <DIR> d-------- C:\Programme\AGEIA Technologies
2008-06-01 08:28 . 2008-06-01 08:29 <DIR> d-------- C:\Dokumente und Einstellungen\Martin\Anwendungsdaten\FarmingSimulator2008
2008-06-01 08:27 . 2008-06-01 08:27 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Wise Installation Wizard
2008-06-01 08:26 . 2000-08-19 19:29 268,048 --a------ C:\WINDOWS\system32\dxtmeta2.dll
2008-06-01 08:24 . 2008-06-01 08:38 <DIR> d-------- C:\Programme\DAEMON Tools Lite
2008-06-01 08:04 . 2008-06-01 16:33 <DIR> d-------- C:\Dokumente und Einstellungen\Martin\Anwendungsdaten\DAEMON Tools
2008-06-01 08:04 . 2008-06-01 08:04 717,296 --a------ C:\WINDOWS\system32\drivers\sptd.sys
2008-05-26 20:29 . 2008-05-26 20:29 <DIR> d-------- C:\Programme\uTorrent
2008-05-26 20:29 . 2008-06-01 16:34 <DIR> d-------- C:\Dokumente und Einstellungen\Martin\Anwendungsdaten\uTorrent
2008-05-23 18:56 . 2008-05-23 18:56 <DIR> d-------- C:\Programme\EuroGrand Casino
2008-05-22 11:31 . 2008-05-22 11:31 <DIR> d-------- C:\WINDOWS\nvidia icons
2008-05-22 11:30 . 2008-05-23 09:30 <DIR> d-------- C:\WINDOWS\NV38163216.TMP
2008-05-22 11:24 . 2008-05-22 11:24 <DIR> d-------- C:\Programme\SystemRequirementsLab
2008-05-18 12:21 . 2008-05-30 07:17 <DIR> d-------- C:\Programme\Star Divx Converter
2008-05-18 12:21 . 2008-05-18 17:13 67 --a------ C:\WINDOWS\Star Divx Converter.INI
2008-05-18 11:47 . 2008-05-13 03:53 129,784 --------- C:\WINDOWS\system32\pxafs.dll
2008-05-18 11:47 . 2008-05-13 03:53 120,056 --------- C:\WINDOWS\system32\pxcpyi64.exe
2008-05-18 11:47 . 2008-05-13 03:53 118,520 --------- C:\WINDOWS\system32\pxinsi64.exe
2008-05-18 11:47 . 2008-05-13 03:53 9,464 --------- C:\WINDOWS\system32\drivers\cdralw2k.sys
2008-05-18 11:47 . 2008-05-13 03:53 9,336 --------- C:\WINDOWS\system32\drivers\cdr4_xp.sys
2008-05-14 03:29 . 2008-05-14 03:29 41,296 --a------ C:\WINDOWS\system32\xfcodec.dll
2008-05-13 14:41 . 2003-03-19 07:20 1,060,864 --a------ C:\WINDOWS\system32\MFC71.dll
2008-05-13 14:41 . 2003-03-19 06:14 499,712 --a------ C:\WINDOWS\system32\msvcp71.dll
2008-05-13 14:41 . 2003-02-21 14:42 348,160 --a------ C:\WINDOWS\system32\msvcr71.dll
2008-05-13 03:53 . 2008-05-13 03:53 3,596,288 --a------ C:\WINDOWS\system32\qt-dx331.dll
2008-05-13 03:53 . 2008-05-13 03:53 524,288 --a------ C:\WINDOWS\system32\DivXsm.exe
2008-05-13 03:53 . 2008-05-13 03:53 10,152 --a------ C:\WINDOWS\system32\dsm_de.qm
2008-05-13 03:53 . 2008-05-13 03:53 4,816 --a------ C:\WINDOWS\system32\divxsm.tlb
2008-05-13 03:51 . 2008-05-13 03:51 1,044,480 --a------ C:\WINDOWS\system32\libdivx.dll
2008-05-13 03:51 . 2008-05-13 03:51 200,704 --a------ C:\WINDOWS\system32\ssldivx.dll
2008-05-13 03:49 . 2008-05-13 03:49 630,784 --a------ C:\WINDOWS\system32\divxdec.ax
2008-05-13 03:49 . 2008-05-13 03:49 161,096 --a------ C:\WINDOWS\system32\DivXCodecVersionChecker.exe
2008-05-13 03:49 . 2008-05-13 03:49 12,288 --a------ C:\WINDOWS\system32\DivXWMPExtType.dll
2008-05-13 03:48 . 2008-05-13 03:48 8,523 --a------ C:\WINDOWS\system32\dpude.qm

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-06-07 11:32 --------- d-----w C:\Dokumente und Einstellungen\Martin\Anwendungsdaten\Skype
2008-06-07 11:28 --------- d-----w C:\Dokumente und Einstellungen\Martin\Anwendungsdaten\DNA
2008-06-07 11:21 --------- d-----w C:\Dokumente und Einstellungen\Martin\Anwendungsdaten\Xfire
2008-06-07 11:13 --------- d-----w C:\Dokumente und Einstellungen\Martin\Anwendungsdaten\skypePM
2008-06-06 18:40 --------- d---a-w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP
2008-06-05 13:52 --------- d--h--w C:\Programme\InstallShield Installation Information
2008-05-19 13:40 --------- d-----w C:\Dokumente und Einstellungen\Martin\Anwendungsdaten\AdobeUM
2008-05-18 10:29 --------- d-----w C:\Programme\DivX
2008-05-14 22:32 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft Help
2008-05-03 03:46 6,554,496 ----a-w C:\WINDOWS\system32\drivers\nv4_mini.sys
2008-04-24 19:41 --------- d-----w C:\Programme\Yahoo!
2008-04-23 15:12 --------- d-----w C:\Programme\Microsoft Works
2008-04-23 15:11 --------- d-----w C:\Programme\MSBuild
2008-04-23 15:08 --------- d-----w C:\Programme\Microsoft.NET
2008-04-23 15:02 --------- d-----w C:\Programme\Microsoft Visual Studio 8
2008-04-21 12:42 --------- d-----w C:\Dokumente und Einstellungen\Martin\Anwendungsdaten\Engelmann Media
2008-04-11 21:45 --------- d-----w C:\Programme\Microsoft Visual Studio .NET 2003
2008-04-11 21:17 --------- d-----w C:\Programme\Microsoft Silverlight
2008-04-07 19:17 --------- d-----w C:\Programme\Google
2008-03-16 22:54 88,516 ----a-w C:\WINDOWS\BricoPackUninst.cmd
2008-03-16 22:54 8,456 ----a-w C:\WINDOWS\BricoPackFoldersDelete.cmd
2008-03-16 22:22 32 ----a-w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ezsid.dat
2006-05-03 10:06 163,328 --sh--r C:\WINDOWS\system32\flvDX.dll
2007-02-21 11:47 31,232 --sh--r C:\WINDOWS\system32\msfDX.dll
2007-12-17 13:43 27,648 --sh--w C:\WINDOWS\system32\Smab0.dll
.

------- Sigcheck -------

2007-06-13 15:21 978944 01a48faef0ffc2e6a0763de98f5ba4a6 C:\WINDOWS\explorer.exe
2007-06-13 15:10 1036288 331ed93570baf3cfe30340298762cd56 C:\WINDOWS\$hf_mig$\KB938828\SP2QFE\explorer.exe
2004-08-04 14:00 1035264 22fe1be02eadde1632e478e4125639e0 C:\WINDOWS\$NtUninstallKB938828$\explorer.exe
2007-06-13 15:21 978944 01a48faef0ffc2e6a0763de98f5ba4a6 C:\WINDOWS\system32\dllcache\explorer.exe
.
(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
"{910EF077-8B76-4A3C-B201-A5CAABA866F8}"= "C:\WINDOWS\atfxqogp.dll" [ ]

[HKEY_CLASSES_ROOT\clsid\{910ef077-8b76-4a3c-b201-a5caaba866f8}]
[HKEY_CLASSES_ROOT\atfxqogp.1]
[HKEY_CLASSES_ROOT\TypeLib\{F25C07D1-1C0E-416F-8147-20AF5007A3F5}]
[HKEY_CLASSES_ROOT\atfxqogp]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 14:00 15360]
"Skype"="C:\Programme\Skype\Phone\Skype.exe" [2007-12-12 16:23 21686568]
"MsnMsgr"="C:\Programme\Windows Live\Messenger\MsnMsgr.exe" [2007-10-18 12:34 5724184]
"BitTorrent DNA"="C:\Programme\DNA\btdna.exe" [2008-05-08 12:32 289088]
"IndxStoreSvr_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="C:\Programme\Gemeinsame Dateien\Nero\Lib\NMIndexStoreSvr.exe" [ ]
"ICQ"="C:\Dokumente und Einstellungen\Martin\Eigene Dateien\Sonstige\ICQ6\ICQ.exe" [2008-04-01 12:40 172280]
"updateMgr"="C:\Programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" [2006-03-30 17:45 313472]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"avast!"="C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe" [2007-12-04 15:00 79224]
"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2008-05-03 05:46 13529088]
"nwiz"="nwiz.exe" [2008-05-03 05:46 1630208 C:\WINDOWS\system32\nwiz.exe]
"DrvLsnr"="C:\Programme\Analog Devices\SoundMAX\DrvLsnr.exe" [2002-05-28 09:37 69632]
"NBKeyScan"="C:\Programme\Nero\Nero8\Nero BackItUp\NBKeyScan.exe" [ ]
"GrooveMonitor"="C:\Programme\Microsoft Office\Office12\GrooveMonitor.exe" [2006-10-27 00:47 31016]
"NvMediaCenter"="C:\WINDOWS\system32\NvMcTray.dll" [2008-05-03 05:46 86016]
"lphcebbj0eabj"="C:\WINDOWS\system32\lphcebbj0eabj.exe" [2008-06-04 13:41 92160]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-04 14:00 15360]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\system]
"NoDispBackgroundPage"= 1 (0x1)
"NoDispScrSavPage"= 1 (0x1)

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\tuvTkjJa]
tuvTkjJa.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"vidc.I420"= i420vfw.dll
"VIDC.XFR1"= xfcodec.dll

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\chL62.sys]
@="Driver"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\nsW83.sys]
@="Driver"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\puY72.sys]
@="Driver"

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\Dokumente und Einstellungen\\Martin\\Eigene Dateien\\Sonstige\\x-fire\\Xfire\\xfire.exe"=
"C:\\Dokumente und Einstellungen\\Martin\\Eigene Dateien\\Sonstige\\ICQ6\\ICQ.exe"=
"C:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"=
"C:\\Programme\\Windows Live\\Messenger\\livecall.exe"=
"C:\\Programme\\DNA\\btdna.exe"=
"C:\\Programme\\Microsoft Office\\Office12\\OUTLOOK.EXE"=
"C:\\Programme\\Microsoft Office\\Office12\\GROOVE.EXE"=
"C:\\Programme\\Microsoft Office\\Office12\\ONENOTE.EXE"=
"C:\\Programme\\uTorrent\\uTorrent.exe"=
"C:\\WINDOWS\\system32\\PnkBstrA.exe"=
"C:\\WINDOWS\\system32\\PnkBstrB.exe"=
"C:\\Dokumente und Einstellungen\\Martin\\Eigene Dateien\\games\\Battlefield 2\\BF2.exe"=
"C:\\Programme\\Skype\\Phone\\Skype.exe"=

S0 chL62;chL62;C:\WINDOWS\system32\Drivers\chL62.sys []
S0 nsW83;nsW83;C:\WINDOWS\system32\Drivers\nsW83.sys []
S0 puY72;puY72;C:\WINDOWS\system32\Drivers\puY72.sys []
S3 sejt1;sejt1;C:\Dokumente und Einstellungen\Martin\Eigene Dateien\Sonstige\AkumaEngine33\sejt.sys []
S3 SHAK31;SHAK31;C:\Dokumente und Einstellungen\Martin\Eigene Dateien\SHAK3.sys []

.
Inhalt des "geplante Tasks" Ordners
"2008-06-05 14:15:04 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job"
- C:\Programme\Apple Software Update\SoftwareUpdate.exe
.
**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-06-07 13:30:38
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Eintr„ge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- DLLs Loaded Under Running Processes ---------------------

PROCESS: C:\WINDOWS\explorer.exe
-> C:\Dokumente und Einstellungen\Martin\Eigene Dateien\Sonstige\Vista skin\Vista Inspirat 2\UberIcon\UberIcon.dll
.
------------------------ Other Running Processes ------------------------
.
C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
C:\Programme\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
C:\Programme\Alwil Software\Avast4\ashMaiSv.exe
C:\Programme\Alwil Software\Avast4\ashWebSv.exe
C:\Programme\Alwil Software\Avast4\ashDisp.exe
C:\WINDOWS\system32\rundll32.exe
C:\Dokumente und Einstellungen\Martin\Eigene Dateien\Sonstige\Vista skin\Vista Inspirat 2\UberIcon\UberIcon Manager.exe
C:\Dokumente und Einstellungen\Martin\Eigene Dateien\Sonstige\x-fire\Xfire\xfire.exe
C:\Programme\Skype\Plugin Manager\skypePM.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2008-06-07 13:36:49 - machine was rebooted [Martin]
ComboFix-quarantined-files.txt 2008-06-07 11:36:41

8 Verzeichnis(se), 22,469,464,064 Bytes frei
11 Verzeichnis(se), 25,103,437,824 Bytes frei

217 --- E O F --- 2008-05-29 01:02:00




wie geht es jetzt weiter? was soll oder kann ich tun?

Der Computer läuft ja eigentlich wie immer bis auf das es den Bildschirmhintergund halt immer automatisch ändert..

Hab jetzt mal den Popup blocker eingeschlatet das ich von den seiten ruhe hab
__________________

Alt 07.06.2008, 12:57   #4
Sunny
Administrator
> Competence Manager
 

Warning Spayware detectet... - Standard

Warning Spayware detectet...



Scripten mit Combofix

  • Öffne den Editor ( Start -> Zubehör -> Editor ) kopiere nun folgenden Text in das weiße Feld:
Code:
ATTFilter
http://www.trojaner-board.de/53590-warning-spayware-detectet.html

Killall::

Collect::
C:\Dokumente und Einstellungen\Martin\Anwendungsdaten\shc9bbj0eabj
C:\WINDOWS\system32\lphcebbj0eabj.exe
C:\WINDOWS\system32\phcebbj0eabj.bmp
C:\WINDOWS\system32\blphcebbj0eabj.scr
C:\WINDOWS\atfxqogp.dll

Registry::
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
"{910EF077-8B76-4A3C-B201-A5CAABA866F8}"=-
[-HKEY_CLASSES_ROOT\clsid\{910ef077-8b76-4a3c-b201-a5caaba866f8}]
[-HKEY_CLASSES_ROOT\atfxqogp.1]
[-HKEY_CLASSES_ROOT\TypeLib\{F25C07D1-1C0E-416F-8147-20AF5007A3F5}]
[-HKEY_CLASSES_ROOT\atfxqogp]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"lphcebbj0eabj"=-
[-HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\tuvTkjJa]
         
Speichere diese Datei nun auf dem Desktop unter -> cfscript.txt
  • Nun die Datei cfscript.txt mit der rechten Maustaste auf das Sysmbol von Combofix ziehen!

  • Danach das Combofix nochmal ausführen, das System neu starten und das Log von Combofix posten


Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann



Nachdem das Log im Notepad aufgegenagen ist, erscheint ein Popup

Dies mit Ok wegklicken und es öffnet sich Dein Browser. In diesem Browser Fenster "Durchsuchen" auswählen und dann auf Deinem Desktop die neue .Zip Datei ([4]-Submit_Jahr-Monat-Tag_Uhrzeit.71.zip) auswählen. Dann mit Klick auf "Send" senden. So kann der Author die Erkennungsroutine des Programms verbessern.
__________________
Anfragen per Email, Profil- oder privater Nachricht werden ignoriert!
Hilfe gibts NUR im Forum!


Stulti est se ipsum sapientem putare.

Alt 07.06.2008, 17:18   #5
GShock2
Gesperrt
 
Warning Spayware detectet... - Standard

Warning Spayware detectet...



ok hab alles gemacht hier ist das logg:


ComboFix 08-06-06.6 - Martin 2008-06-07 18:22:47.2 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1252.1.1031.18.1179 [GMT 2:00]
ausgeführt von:: C:\Dokumente und Einstellungen\Martin\Desktop\ComboFix.exe
Command switches used :: C:\Dokumente und Einstellungen\Martin\Desktop\cfscript.txt
* Neuer Wiederherstellungspunkt wurde erstellt

WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!
.

(((((((((((((((((((((((((((((((((((( Weitere L”schungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\WINDOWS\system32\blphcebbj0eabj.scr
C:\WINDOWS\system32\lphcebbj0eabj.exe
C:\WINDOWS\system32\phcebbj0eabj.bmp

.
((((((((((((((((((((((( Dateien erstellt von 2008-05-07 bis 2008-06-07 ))))))))))))))))))))))))))))))
.

2008-06-07 00:20 . 2008-06-07 00:20 <DIR> d-------- C:\Programme\Trend Micro
2008-06-06 19:18 . 2008-06-06 19:18 <DIR> d-------- C:\Dokumente und Einstellungen\Martin\Anwendungsdaten\AXPFixer
2008-06-05 16:00 . 2008-06-05 16:00 <DIR> d-------- C:\Programme\GameSpy Arcade
2008-06-04 13:46 . 2008-06-03 13:52 163,840 --a------ C:\WINDOWS\esbq.exe
2008-06-04 13:42 . 2008-06-04 13:42 <DIR> d-------- C:\Dokumente und Einstellungen\Martin\Anwendungsdaten\shc9bbj0eabj
2008-06-01 19:32 . 2008-06-01 19:32 311 --a------ C:\WINDOWS\game.ini
2008-06-01 19:14 . 2008-06-01 19:14 <DIR> d-------- C:\Programme\Activision
2008-06-01 17:47 . 2008-06-01 17:47 <DIR> d--hs---- C:\WINDOWS\ftpcache
2008-06-01 17:46 . 2008-06-07 14:21 107,832 --a------ C:\WINDOWS\system32\PnkBstrB.exe
2008-06-01 17:46 . 2008-06-05 19:26 66,872 --a------ C:\WINDOWS\system32\PnkBstrA.exe
2008-06-01 17:46 . 2008-06-07 14:24 22,328 --a------ C:\WINDOWS\system32\drivers\PnkBstrK.sys
2008-06-01 17:46 . 2008-06-01 20:25 22,328 --a------ C:\Dokumente und Einstellungen\Martin\Anwendungsdaten\PnkBstrK.sys
2008-06-01 08:28 . 2008-06-01 08:28 <DIR> d-------- C:\WINDOWS\system32\AGEIA
2008-06-01 08:28 . 2008-06-01 08:28 <DIR> d-------- C:\Programme\AGEIA Technologies
2008-06-01 08:28 . 2008-06-01 08:29 <DIR> d-------- C:\Dokumente und Einstellungen\Martin\Anwendungsdaten\FarmingSimulator2008
2008-06-01 08:27 . 2008-06-01 08:27 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Wise Installation Wizard
2008-06-01 08:26 . 2000-08-19 19:29 268,048 --a------ C:\WINDOWS\system32\dxtmeta2.dll
2008-06-01 08:24 . 2008-06-01 08:38 <DIR> d-------- C:\Programme\DAEMON Tools Lite
2008-06-01 08:04 . 2008-06-01 16:33 <DIR> d-------- C:\Dokumente und Einstellungen\Martin\Anwendungsdaten\DAEMON Tools
2008-06-01 08:04 . 2008-06-01 08:04 717,296 --a------ C:\WINDOWS\system32\drivers\sptd.sys
2008-05-26 20:29 . 2008-05-26 20:29 <DIR> d-------- C:\Programme\uTorrent
2008-05-26 20:29 . 2008-06-01 16:34 <DIR> d-------- C:\Dokumente und Einstellungen\Martin\Anwendungsdaten\uTorrent
2008-05-23 18:56 . 2008-05-23 18:56 <DIR> d-------- C:\Programme\EuroGrand Casino
2008-05-22 11:31 . 2008-05-22 11:31 <DIR> d-------- C:\WINDOWS\nvidia icons
2008-05-22 11:30 . 2008-05-23 09:30 <DIR> d-------- C:\WINDOWS\NV38163216.TMP
2008-05-22 11:24 . 2008-05-22 11:24 <DIR> d-------- C:\Programme\SystemRequirementsLab
2008-05-18 12:21 . 2008-05-30 07:17 <DIR> d-------- C:\Programme\Star Divx Converter
2008-05-18 12:21 . 2008-05-18 17:13 67 --a------ C:\WINDOWS\Star Divx Converter.INI
2008-05-18 11:47 . 2008-05-13 03:53 129,784 --------- C:\WINDOWS\system32\pxafs.dll
2008-05-18 11:47 . 2008-05-13 03:53 120,056 --------- C:\WINDOWS\system32\pxcpyi64.exe
2008-05-18 11:47 . 2008-05-13 03:53 118,520 --------- C:\WINDOWS\system32\pxinsi64.exe
2008-05-18 11:47 . 2008-05-13 03:53 9,464 --------- C:\WINDOWS\system32\drivers\cdralw2k.sys
2008-05-18 11:47 . 2008-05-13 03:53 9,336 --------- C:\WINDOWS\system32\drivers\cdr4_xp.sys
2008-05-14 03:29 . 2008-05-14 03:29 41,296 --a------ C:\WINDOWS\system32\xfcodec.dll
2008-05-13 14:41 . 2003-03-19 07:20 1,060,864 --a------ C:\WINDOWS\system32\MFC71.dll
2008-05-13 14:41 . 2003-03-19 06:14 499,712 --a------ C:\WINDOWS\system32\msvcp71.dll
2008-05-13 14:41 . 2003-02-21 14:42 348,160 --a------ C:\WINDOWS\system32\msvcr71.dll
2008-05-13 03:53 . 2008-05-13 03:53 3,596,288 --a------ C:\WINDOWS\system32\qt-dx331.dll
2008-05-13 03:53 . 2008-05-13 03:53 524,288 --a------ C:\WINDOWS\system32\DivXsm.exe
2008-05-13 03:53 . 2008-05-13 03:53 10,152 --a------ C:\WINDOWS\system32\dsm_de.qm
2008-05-13 03:53 . 2008-05-13 03:53 4,816 --a------ C:\WINDOWS\system32\divxsm.tlb
2008-05-13 03:51 . 2008-05-13 03:51 1,044,480 --a------ C:\WINDOWS\system32\libdivx.dll
2008-05-13 03:51 . 2008-05-13 03:51 200,704 --a------ C:\WINDOWS\system32\ssldivx.dll
2008-05-13 03:49 . 2008-05-13 03:49 630,784 --a------ C:\WINDOWS\system32\divxdec.ax
2008-05-13 03:49 . 2008-05-13 03:49 161,096 --a------ C:\WINDOWS\system32\DivXCodecVersionChecker.exe
2008-05-13 03:49 . 2008-05-13 03:49 12,288 --a------ C:\WINDOWS\system32\DivXWMPExtType.dll
2008-05-13 03:48 . 2008-05-13 03:48 8,523 --a------ C:\WINDOWS\system32\dpude.qm

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-06-07 16:20 --------- d-----w C:\Dokumente und Einstellungen\Martin\Anwendungsdaten\Xfire
2008-06-07 16:20 --------- d-----w C:\Dokumente und Einstellungen\Martin\Anwendungsdaten\Skype
2008-06-07 16:18 --------- d-----w C:\Dokumente und Einstellungen\Martin\Anwendungsdaten\DNA
2008-06-07 16:09 --------- d-----w C:\Dokumente und Einstellungen\Martin\Anwendungsdaten\skypePM
2008-06-06 18:40 --------- d---a-w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP
2008-06-05 13:52 --------- d--h--w C:\Programme\InstallShield Installation Information
2008-05-19 13:40 --------- d-----w C:\Dokumente und Einstellungen\Martin\Anwendungsdaten\AdobeUM
2008-05-18 10:29 --------- d-----w C:\Programme\DivX
2008-05-14 22:32 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft Help
2008-05-03 03:46 86,016 ----a-w C:\WINDOWS\system32\nvmctray.dll
2008-04-30 15:27 442,368 ----a-w C:\WINDOWS\system32\NVUNINST.EXE
2008-04-24 19:41 --------- d-----w C:\Programme\Yahoo!
2008-04-23 15:12 --------- d-----w C:\Programme\Microsoft Works
2008-04-23 15:11 --------- d-----w C:\Programme\MSBuild
2008-04-23 15:08 --------- d-----w C:\Programme\Microsoft.NET
2008-04-23 15:02 --------- d-----w C:\Programme\Microsoft Visual Studio 8
2008-04-21 12:42 --------- d-----w C:\Dokumente und Einstellungen\Martin\Anwendungsdaten\Engelmann Media
2008-04-11 21:45 --------- d-----w C:\Programme\Microsoft Visual Studio .NET 2003
2008-04-11 21:17 --------- d-----w C:\Programme\Microsoft Silverlight
2008-04-07 19:17 --------- d-----w C:\Programme\Google
2008-03-25 04:51 621,344 ----a-w C:\WINDOWS\system32\mswstr10.dll
2008-03-25 04:51 187,168 ----a-w C:\WINDOWS\system32\msjint40.dll
2008-03-20 08:03 1,845,376 ----a-w C:\WINDOWS\system32\win32k.sys
2008-03-16 22:54 88,516 ----a-w C:\WINDOWS\BricoPackUninst.cmd
2008-03-16 22:54 8,456 ----a-w C:\WINDOWS\BricoPackFoldersDelete.cmd
2008-03-16 22:54 219,648 ----a-w C:\WINDOWS\system32\uxtheme.dll
2008-03-16 22:22 32 ----a-w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ezsid.dat
2006-05-03 10:06 163,328 --sh--r C:\WINDOWS\system32\flvDX.dll
2007-02-21 11:47 31,232 --sh--r C:\WINDOWS\system32\msfDX.dll
2007-12-17 13:43 27,648 --sh--w C:\WINDOWS\system32\Smab0.dll
.

------- Sigcheck -------

2007-06-13 15:21 978944 01a48faef0ffc2e6a0763de98f5ba4a6 C:\WINDOWS\explorer.exe
2007-06-13 15:10 1036288 331ed93570baf3cfe30340298762cd56 C:\WINDOWS\$hf_mig$\KB938828\SP2QFE\explorer.exe
2004-08-04 14:00 1035264 22fe1be02eadde1632e478e4125639e0 C:\WINDOWS\$NtUninstallKB938828$\explorer.exe
2007-06-13 15:21 978944 01a48faef0ffc2e6a0763de98f5ba4a6 C:\WINDOWS\system32\dllcache\explorer.exe
.
((((((((((((((((((((((((((((( snapshot@2008-06-07_13.36.15.20 )))))))))))))))))))))))))))))))))))))))))
.
- 2008-06-07 11:29:50 2,048 --s-a-w C:\WINDOWS\bootstat.dat
+ 2008-06-07 16:25:55 2,048 --s-a-w C:\WINDOWS\bootstat.dat
+ 2008-06-07 16:26:00 16,384 ----atw C:\WINDOWS\TEMP\Perflib_Perfdata_604.dat
.
(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 14:00 15360]
"Skype"="C:\Programme\Skype\Phone\Skype.exe" [2007-12-12 16:23 21686568]
"MsnMsgr"="C:\Programme\Windows Live\Messenger\MsnMsgr.exe" [2007-10-18 12:34 5724184]
"BitTorrent DNA"="C:\Programme\DNA\btdna.exe" [2008-05-08 12:32 289088]
"IndxStoreSvr_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="C:\Programme\Gemeinsame Dateien\Nero\Lib\NMIndexStoreSvr.exe" [ ]
"ICQ"="C:\Dokumente und Einstellungen\Martin\Eigene Dateien\Sonstige\ICQ6\ICQ.exe" [2008-04-01 12:40 172280]
"updateMgr"="C:\Programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" [2006-03-30 17:45 313472]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"avast!"="C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe" [2007-12-04 15:00 79224]
"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2008-05-03 05:46 13529088]
"nwiz"="nwiz.exe" [2008-05-03 05:46 1630208 C:\WINDOWS\system32\nwiz.exe]
"DrvLsnr"="C:\Programme\Analog Devices\SoundMAX\DrvLsnr.exe" [2002-05-28 09:37 69632]
"NBKeyScan"="C:\Programme\Nero\Nero8\Nero BackItUp\NBKeyScan.exe" [ ]
"GrooveMonitor"="C:\Programme\Microsoft Office\Office12\GrooveMonitor.exe" [2006-10-27 00:47 31016]
"NvMediaCenter"="C:\WINDOWS\system32\NvMcTray.dll" [2008-05-03 05:46 86016]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-04 14:00 15360]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\system]
"NoDispBackgroundPage"= 1 (0x1)

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"vidc.I420"= i420vfw.dll
"VIDC.XFR1"= xfcodec.dll

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\chL62.sys]
@="Driver"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\nsW83.sys]
@="Driver"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\puY72.sys]
@="Driver"

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\Dokumente und Einstellungen\\Martin\\Eigene Dateien\\Sonstige\\x-fire\\Xfire\\xfire.exe"=
"C:\\Dokumente und Einstellungen\\Martin\\Eigene Dateien\\Sonstige\\ICQ6\\ICQ.exe"=
"C:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"=
"C:\\Programme\\Windows Live\\Messenger\\livecall.exe"=
"C:\\Programme\\DNA\\btdna.exe"=
"C:\\Programme\\Microsoft Office\\Office12\\OUTLOOK.EXE"=
"C:\\Programme\\Microsoft Office\\Office12\\GROOVE.EXE"=
"C:\\Programme\\Microsoft Office\\Office12\\ONENOTE.EXE"=
"C:\\Programme\\uTorrent\\uTorrent.exe"=
"C:\\WINDOWS\\system32\\PnkBstrA.exe"=
"C:\\WINDOWS\\system32\\PnkBstrB.exe"=
"C:\\Dokumente und Einstellungen\\Martin\\Eigene Dateien\\games\\Battlefield 2\\BF2.exe"=
"C:\\Programme\\Skype\\Phone\\Skype.exe"=

S0 chL62;chL62;C:\WINDOWS\system32\Drivers\chL62.sys []
S0 nsW83;nsW83;C:\WINDOWS\system32\Drivers\nsW83.sys []
S0 puY72;puY72;C:\WINDOWS\system32\Drivers\puY72.sys []
S3 sejt1;sejt1;C:\Dokumente und Einstellungen\Martin\Eigene Dateien\Sonstige\AkumaEngine33\sejt.sys []
S3 SHAK31;SHAK31;C:\Dokumente und Einstellungen\Martin\Eigene Dateien\SHAK3.sys []

.
Inhalt des "geplante Tasks" Ordners
"2008-06-05 14:15:04 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job"
- C:\Programme\Apple Software Update\SoftwareUpdate.exe
.
**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-06-07 18:26:27
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Eintr„ge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- DLLs Loaded Under Running Processes ---------------------

PROCESS: C:\WINDOWS\explorer.exe
-> C:\Dokumente und Einstellungen\Martin\Eigene Dateien\Sonstige\Vista skin\Vista Inspirat 2\UberIcon\UberIcon.dll
.
------------------------ Other Running Processes ------------------------
.
C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
C:\Programme\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
C:\Programme\Alwil Software\Avast4\ashMaiSv.exe
C:\Programme\Alwil Software\Avast4\ashWebSv.exe
C:\Programme\Alwil Software\Avast4\ashDisp.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
C:\Dokumente und Einstellungen\Martin\Eigene Dateien\Sonstige\Vista skin\Vista Inspirat 2\UberIcon\UberIcon Manager.exe
C:\Dokumente und Einstellungen\Martin\Eigene Dateien\Sonstige\x-fire\Xfire\xfire.exe
C:\Programme\Skype\Plugin Manager\skypePM.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2008-06-07 18:32:55 - machine was rebooted [Martin]
ComboFix-quarantined-files.txt 2008-06-07 16:32:44
ComboFix2.txt 2008-06-07 11:36:52

8 Verzeichnis(se), 25,002,991,616 Bytes frei
11 Verzeichnis(se), 25,116,848,128 Bytes frei

205 --- E O F --- 2008-05-29 01:02:00




Der Bildschirm wird seit dem restart nicht mehr jedesmal geändert...

hat das script jetzt den virus gelöscht ?


Geändert von GShock2 (07.06.2008 um 17:44 Uhr)

Alt 07.06.2008, 21:20   #6
Sunny
Administrator
> Competence Manager
 

Warning Spayware detectet... - Standard

Warning Spayware detectet...




OTMoveIt by OldTimer


Folgendes Tool herunterladen -> OTMoveIt2.exe
--> Starte nun die OTMoveIt.exe

--> Im Fenster links (Paste Standard List of Files/Folders to be Move) folgendes reinkopieren:

Zitat:
C:\Dokumente und Einstellungen\Martin\Anwendungsdaten\shc9bbj0eabj
--> Danach den Roten MoveIt!-Button klicken
--> Das Programm wird dir anschliessend einen Bericht anzeigen, kopiere diesen ab und füge ihn in deinen Beitrag ein!




Combofix Deinstallieren


Klick auf Start -> Ausführen -> eintippen combofix /U

Damit ist Combofix und alle weiteren Programme entfernt wurden.



Malwarebytes' Anti-Malware
  • Lies dir die Entfernungsanleitung durch und lass alles entfernen was gefunden wurde:
__________________
--> Warning Spayware detectet...

Alt 07.06.2008, 22:19   #7
BataAlexander
> MalwareDB
 
Warning Spayware detectet... - Standard

Warning Spayware detectet...



Schau mal, ob Du diese Dateien bei VirusTotal - Free Online Virus and Malware Scan hochgeladen bekommst

Zitat:
C:\WINDOWS\system32\Drivers\chL62.sys
C:\WINDOWS\system32\Drivers\nsW83.sys
C:\WINDOWS\system32\Drivers\puY72.sys
Poste die Ergebniss hier, incl MD5/SHA1.
__________________
If every computer is running a diverse ecosystem, crackers will have
no choice but to resort to small-scale, targetted attacks, and the
days of mass-market malware will be over
[...].
Stuart Udall

Alt 07.06.2008, 22:39   #8
GShock2
Gesperrt
 
Warning Spayware detectet... - Standard

Warning Spayware detectet...



OTMoveIt by OldTimer:

C:\Dokumente und Einstellungen\Martin\Anwendungsdaten\shc9bbj0eabj\Quarantine\Packages moved successfully.
C:\Dokumente und Einstellungen\Martin\Anwendungsdaten\shc9bbj0eabj\Quarantine\BrowserObjects moved successfully.
C:\Dokumente und Einstellungen\Martin\Anwendungsdaten\shc9bbj0eabj\Quarantine\Autorun\StartMenuCurrentUser moved successfully.
C:\Dokumente und Einstellungen\Martin\Anwendungsdaten\shc9bbj0eabj\Quarantine\Autorun\StartMenuAllUsers moved successfully.
C:\Dokumente und Einstellungen\Martin\Anwendungsdaten\shc9bbj0eabj\Quarantine\Autorun\HKLM\RunOnce moved successfully.
C:\Dokumente und Einstellungen\Martin\Anwendungsdaten\shc9bbj0eabj\Quarantine\Autorun\HKLM moved successfully.
C:\Dokumente und Einstellungen\Martin\Anwendungsdaten\shc9bbj0eabj\Quarantine\Autorun\HKCU\RunOnce moved successfully.
C:\Dokumente und Einstellungen\Martin\Anwendungsdaten\shc9bbj0eabj\Quarantine\Autorun\HKCU moved successfully.
C:\Dokumente und Einstellungen\Martin\Anwendungsdaten\shc9bbj0eabj\Quarantine\Autorun moved successfully.
C:\Dokumente und Einstellungen\Martin\Anwendungsdaten\shc9bbj0eabj\Quarantine moved successfully.
C:\Dokumente und Einstellungen\Martin\Anwendungsdaten\shc9bbj0eabj moved successfully.

OTMoveIt2 by OldTimer - Version 1.0.4.2 log created on 06072008_230314

------------------------------------------------------------------------


Malwarebytes:

Malwarebytes' Anti-Malware 1.15
Datenbank Version: 839

23:37:48 07.06.2008
mbam-log-6-7-2008 (23-37-48).txt

Scan Art: Komplett Scan (C:\|)
Objekte gescannt: 89138
Scan Dauer: 26 minute(s), 58 second(s)

Infizierte Speicher Prozesse: 0
Infizierte Speicher Module: 0
Infizierte Registrierungsschlüssel: 4
Infizierte Registrierungswerte: 0
Infizierte Datei Objekte der Registrierung: 1
Infizierte Verzeichnisse: 12
Infizierte Dateien: 1

Infizierte Speicher Prozesse:
(Keine Malware Objekte gefunden)

Infizierte Speicher Module:
(Keine Malware Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_CLASSES_ROOT\Interface\{529f1e0d-e241-4642-a560-00bda0df44e6} (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\AXPFixer (Rogue.AdvancedXPFixer) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Software Notifier (Rogue.Multiple) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\atfxqogp.bqva (Trojan.FakeAlert) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
(Keine Malware Objekte gefunden)

Infizierte Datei Objekte der Registrierung:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System\NoDispBackgroundPage (Hijack.DisplayProperties) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.

Infizierte Verzeichnisse:
C:\Dokumente und Einstellungen\Martin\Anwendungsdaten\AXPFixer (Rogue.AdvancedXPFixer) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Martin\Anwendungsdaten\AXPFixer\AXPFixer (Rogue.AdvancedXPFixer) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Martin\Anwendungsdaten\AXPFixer\AXPFixer\Quarantine (Rogue.AdvancedXPFixer) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Martin\Anwendungsdaten\AXPFixer\AXPFixer\Quarantine\Autorun (Rogue.AdvancedXPFixer) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Martin\Anwendungsdaten\AXPFixer\AXPFixer\Quarantine\BrowserObjects (Rogue.AdvancedXPFixer) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Martin\Anwendungsdaten\AXPFixer\AXPFixer\Quarantine\Packages (Rogue.AdvancedXPFixer) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Martin\Anwendungsdaten\AXPFixer\AXPFixer\Quarantine\Autorun\HKCU (Rogue.AdvancedXPFixer) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Martin\Anwendungsdaten\AXPFixer\AXPFixer\Quarantine\Autorun\HKLM (Rogue.AdvancedXPFixer) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Martin\Anwendungsdaten\AXPFixer\AXPFixer\Quarantine\Autorun\StartMenuAllUsers (Rogue.AdvancedXPFixer) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Martin\Anwendungsdaten\AXPFixer\AXPFixer\Quarantine\Autorun\StartMenuCurrentUser (Rogue.AdvancedXPFixer) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Martin\Anwendungsdaten\AXPFixer\AXPFixer\Quarantine\Autorun\HKCU\RunOnce (Rogue.AdvancedXPFixer) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Martin\Anwendungsdaten\AXPFixer\AXPFixer\Quarantine\Autorun\HKLM\RunOnce (Rogue.AdvancedXPFixer) -> Quarantined and deleted successfully.

Infizierte Dateien:
C:\WINDOWS\esbq.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.

Alt 07.06.2008, 22:47   #9
GShock2
Gesperrt
 
Warning Spayware detectet... - Standard

Warning Spayware detectet...



Zitat:
Zitat von BataAlexander Beitrag anzeigen
Schau mal, ob Du diese Dateien bei VirusTotal - Free Online Virus and Malware Scan hochgeladen bekommst



Poste die Ergebniss hier, incl MD5/SHA1.
Die dateien existieren gar nicht/nicht mehr..

Alt 07.06.2008, 22:56   #10
BataAlexander
> MalwareDB
 
Warning Spayware detectet... - Standard

Warning Spayware detectet...



Ok. kann sein, dass es nur temp Treiber für Avast waren.
__________________
If every computer is running a diverse ecosystem, crackers will have
no choice but to resort to small-scale, targetted attacks, and the
days of mass-market malware will be over
[...].
Stuart Udall

Alt 08.06.2008, 11:33   #11
GShock2
Gesperrt
 
Warning Spayware detectet... - Standard

Warning Spayware detectet...



PC läuft jetzt wieder perfect

Vielen dank für die hilfe

Antwort

Themen zu Warning Spayware detectet...
add-on, adobe, antivirus, antvir, avast, avast!, bho, browser, compare, computer, dll, einstellungen, excel, explorer, helfen, helper, hijack, hijackthis, hkus\s-1-5-18, internet, internet explorer, nmindexstoresvr.exe, object, rundll, seiten, senden, sich automatisch, software, system, temp, toolbars, vista, windows, windows xp




Ähnliche Themen: Warning Spayware detectet...


  1. Warning virus
    Diskussionsforum - 12.01.2012 (1)
  2. AV-Security Warning, Spyware Warning usw.
    Plagegeister aller Art und deren Bekämpfung - 30.12.2010 (13)
  3. Warning! CPU has been changed...
    Plagegeister aller Art und deren Bekämpfung - 03.11.2010 (4)
  4. "no signal detectet" und "out of range"
    Netzwerk und Hardware - 31.07.2010 (1)
  5. Warning! Virus detected!
    Log-Analyse und Auswertung - 31.12.2008 (1)
  6. Desktop-Meldung "Spyware detectet on your computer!"
    Log-Analyse und Auswertung - 20.09.2008 (5)
  7. Bitte um Hilfe bin Anfänger habe ein spyware detectet your computer hintergrund
    Log-Analyse und Auswertung - 19.09.2008 (0)
  8. Antivirus XP 2008 u. Spyware detectet on...
    Plagegeister aller Art und deren Bekämpfung - 18.09.2008 (16)
  9. Warning! You´re in danger...
    Plagegeister aller Art und deren Bekämpfung - 11.03.2008 (2)
  10. Worm.win32.Netsky detectet on your computer..
    Log-Analyse und Auswertung - 27.01.2008 (3)
  11. Panda-scann entdeckt spayware
    Plagegeister aller Art und deren Bekämpfung - 01.01.2006 (2)
  12. System Warning
    Log-Analyse und Auswertung - 30.05.2005 (4)
  13. Spayware?
    Log-Analyse und Auswertung - 13.05.2005 (7)
  14. Warning you are in danger!
    Log-Analyse und Auswertung - 21.02.2005 (13)
  15. Warning! You`re In Danger
    Plagegeister aller Art und deren Bekämpfung - 11.01.2005 (1)
  16. Warning! Your in Danger!
    Plagegeister aller Art und deren Bekämpfung - 11.01.2005 (2)
  17. Warning!You're in Danger !????!
    Log-Analyse und Auswertung - 09.11.2004 (10)

Zum Thema Warning Spayware detectet... - Hallo, Seit einigen Tagen bekomm ich wenn ich den PC neu starte automatisch den Bildschirmhintergund in: Warning! Spayware detectet on your Computer!!! Install an antivirus or spayware remover... Auserdem öffnen - Warning Spayware detectet......
Archiv
Du betrachtest: Warning Spayware detectet... auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.