Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung
Warning! Spyware detected on....XP Antivirus 2008

Warning! Spyware detected on....XP Antivirus 2008


Log-Analyse und Auswertung: Warning! Spyware detected on....XP Antivirus 2008

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML.

Antwort
Alt 28.08.2008, 17:07   #1
DomLin
 
Warning! Spyware detected on....XP Antivirus 2008 - Standard

Warning! Spyware detected on....XP Antivirus 2008


Hallo zusammen,

seit gestern wird mein Rechner von einem Virus gequält der sich wie folgt zu erkennen gibt:

Auf dem Desktop erscheint anstatt des Wallpapers die Meldung:

1.

Waring! Spyware detected on your computer!
Install an antivirus or spyware remover to clean your computer!

Warning! Win32/Adware.Virtumonde
Warning! Win32/PrivacyRemover.M64

2.

Beim Start läd ein Fenster, dass mich auffordert den XP Antivirus 2008 zu installieren

3.

Im Browser (Firefox 3) werde ich, wenn ich aus Google heraus auf einen Link klicke, immer auf Werbeseiten weitergeleitet.
Seiten von den gängigen Antivirus-Programm, Onlinescans, etc. sind "tod"


Kann mir bitte jemand helfen? Wäre echt lieb, langsam nervt es Danke!

Anbei ein Logfile aus Highjackthis:

Code:
ATTFilter
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 18:01:42, on 28.08.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.20627)
Boot mode: Normal

Running processes:
C:\Windows\System32\smss.exe
C:\Windows\system32\csrss.exe
C:\Windows\system32\winlogon.exe
C:\Windows\system32\services.exe
C:\Windows\system32\lsass.exe
C:\Windows\system32\Ati2evxx.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Windows\Explorer.EXE
C:\Windows\system32\spoolsv.exe
C:\Programme\Winamp\winampa.exe
C:\Programme\Unlocker\UnlockerAssistant.exe
C:\Programme\Java\jre1.5.0_12\bin\jusched.exe
C:\Windows\system32\ctfmon.exe
C:\Programme\a-squared Free\a2service.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Google\Google Updater\GoogleUpdater.exe
C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\Windows\System32\alg.exe
C:\Windows\System32\svchost.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Mozilla Thunderbird\thunderbird.exe
C:\Programme\Macromedia\Dreamweaver 8\Dreamweaver.exe
C:\Windows\system32\notepad.exe
C:\Windows\system32\wbem\wmiprvse.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = 
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll (file missing)
O2 - BHO: XTTBPos00 - {055FD26D-3A88-4e15-963D-DC8493744B1D} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll (file missing)
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_12\bin\ssv.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\2.1.1119.1736\swg.dll
O4 - HKLM\..\Run: [StartCCC] C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\Windows\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [MSPY2002] C:\Windows\system32\IME\PINTLGNT\ImScInst.exe /SYNC
O4 - HKLM\..\Run: [PHIME2002ASync] C:\Windows\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\Windows\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [EPSON Stylus D68 Series] C:\Windows\System32\spool\DRIVERS\W32X86\3\E_FATIAAE.EXE /P23 "EPSON Stylus D68 Series" /O6 "USB001" /M "Stylus D68"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [TrayServer] C:\Programme\MAGIX\Video_deluxe_2007_2008_PLUS\TrayServer.exe
O4 - HKLM\..\Run: [UnlockerAssistant] "C:\Programme\Unlocker\UnlockerAssistant.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Windows\system32\NeroCheck.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.5.0_12\bin\jusched.exe"
O4 - HKLM\..\Run: [RoxWatchTray] "C:\Programme\Gemeinsame Dateien\Roxio Shared\9.0\SharedCOM\RoxWatchTray9.exe"
O4 - HKLM\..\Run: [lphc3ddj0er3c] C:\Windows\system32\lphc3ddj0er3c.exe
O4 - HKLM\..\Run: [inrhc7ddj0er3c] C:\Dokumente und Einstellungen\xxx\Lokale Einstellungen\Temp\.tt74.tmp.exe
O4 - HKLM\..\Run: [sysrest32.exe] C:\Windows\system32\sysrest32.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\Windows\system32\ctfmon.exe
O4 - HKCU\..\Run: [GMX_GMX MultiMessenger] "C:\Programme\GMX\GMX MultiMessenger\MESSENGR.EXE" /hide
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [ICQ] "C:\Programme\ICQ6\ICQ.exe" silent
O4 - HKCU\..\Run: [AdobeUpdater] C:\Programme\Gemeinsame Dateien\Adobe\Updater5\AdobeUpdater.exe
O4 - HKUS\S-1-5-19\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\RunOnce: [IE7] rundll32 advpack.dll,LaunchINFSection IE7.inf,FirstUserStart (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\RunOnce: [ShowDeskFix] regsvr32 /s /n /i:u shell32 (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'Default user')
O4 - Startup: Adobe Gamma.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Google Updater.lnk = C:\Programme\Google\Google Updater\GoogleUpdater.exe
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~1\Office12\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_12\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_12\bin\ssv.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~1\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\Windows\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\Windows\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O23 - Service: a-squared Free Service (a2free) - Emsi Software GmbH - C:\Programme\a-squared Free\a2service.exe
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\Windows\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\Windows\system32\ati2sgag.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: Roxio UPnP Renderer 9 - Sonic Solutions - C:\Programme\Roxio\Digital Home 9\RoxioUPnPRenderer9.exe
O23 - Service: Roxio Upnp Server 9 - Sonic Solutions - C:\Programme\Roxio\Digital Home 9\RoxioUpnpService9.exe
O23 - Service: LiveShare P2P Server 9 (RoxLiveShare9) - Sonic Solutions - C:\Programme\Gemeinsame Dateien\Roxio Shared\9.0\SharedCOM\RoxLiveShare9.exe
O23 - Service: RoxMediaDB9 - Sonic Solutions - C:\Programme\Gemeinsame Dateien\Roxio Shared\9.0\SharedCOM\RoxMediaDB9.exe
O23 - Service: Roxio Hard Drive Watcher 9 (RoxWatch9) - Sonic Solutions - C:\Programme\Gemeinsame Dateien\Roxio Shared\9.0\SharedCOM\RoxWatch9.exe

--
End of file - 7935 bytes

Alt 28.08.2008, 17:31   #2
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Warning! Spyware detected on....XP Antivirus 2008 - Cool

Warning! Spyware detected on....XP Antivirus 2008


Hallo und

Acker diese Punkte für weitere Analysen ab:

1.) Deaktiviere die Systemwiederherstellung, im Verlauf der Infektion wurden auch Malwaredateien in Wiederherstellungspunkten mitgesichert - die sind alle nun unbrauchbar, da ein Zurücksetzen des System durch einen Wiederherstellungspunkt das System wahrscheinlich wieder infizieren würde.

2.) Stell sicher, daß Dir auch alle Dateien angezeigt werden, danach folgende Dateien bei Virustotal.com auswerten lassen und alle Ergebnisse posten, und zwar so, daß man die der einzelnen Virenscanner sehen kann. Bitte mit Dateigrößen und Prüfsummen:
Code:
ATTFilter
C:\Windows\system32\sysrest32.exe
C:\Windows\system32\lphc3ddj0er3c.exe
3.) Führe dieses MBR-Tool aus und poste die Ausgabe

4.) Blacklight und Malwarebytes Antimalware ausführen und Logfiles posten

5.) ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix
  • Lade dir das Tool hier herunter auf den Desktop -> KLICK
Das Programm jedoch noch nicht starten sondern zuerst folgendes tun:
  • Schliesse alle Anwendungen und Programme, vor allem deine Antiviren-Software und andere Hintergrundwächter, sowie deinen Internetbrowser.
    Vermeide es auch explizit während das Combofix läuft die Maus und Tastatur zu benutzen.
  • Starte nun die combofix.exe von deinem Desktop aus, bestätige die Warnmeldungen und lass dein System durchsuchen.
  • Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte abkopieren und in deinen Beitrag einfügen. Das log findest du außerdem unter: C:\ComboFix.txt.
Wichtiger Hinweis:
Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.
Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten.

Poste alle Logfiles bitte mit Codetags umschlossen (#-Button) also so:

HTML-Code:
[code] Hier das Logfile rein! [/code]
6.) Mach auch ein Filelisting mit diesem script:
  • Script abspeichern per Rechtsklick, speichern unter auf dem Desktop
  • Doppelklick auf listing8.cmd auf dem Desktop
  • nach kurzer Zeit erscheint eine listing.txt auf dem Desktop

Diese listing.txt z.B. bei File-Upload.net hochladen und hier verlinken, da dieses Logfile zu groß fürs Board ist.
__________________

__________________
Alt 28.08.2008, 18:22   #3
Someonelse
 
Warning! Spyware detected on....XP Antivirus 2008 - Standard

Warning! Spyware detected on....XP Antivirus 2008


Ich habe das Problem auch, ist voll stressig!
Was hier nicht beschrieben wird, ist wie du den Desktophintergrund zurückkriegst. Das machst du so:
Klicke auf Start, dann Ausführen und gib regedit ein und bestätige mit OK.
Nun öffnet sich der Registrierunge-Editor.Bitte nimm keine eigenmächtigen Änderungen daran vor, dies könnte die Leistung deines PCs beeinträchtigen.

Nun öffne diesen Pfad:

Arbeitsplatz\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Currentversion\policies\system
für alle Benutzer

Arbeitsplatz\HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\Currentversion\policies\system
für den jetzigen Benutzer

erstelle nun im rechten Teil des Fensters einen neuen DWORD-Wert (rechtsklick/neu/DWORD-Wert). Nenne ihn "NoDispBackgroundPage" und setzte ihn auf "0"(Standart) um die Registerkarte "Desktop" in "Eigenschaften von Anzeige" wieder erscheinen zu lassen.
Wiederhole den Vorgang und nenne den Wert "NoDispScrSavPage" um die Registerkarte "Bildschirmschoner" in "EIgenschaften von ANzeige" wieder erscheinen zu lassen.
Viel Glück noch mit dem Rest des Problems!
__________________
Alt 28.08.2008, 18:29   #4
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Warning! Spyware detected on....XP Antivirus 2008 - Icon32

Warning! Spyware detected on....XP Antivirus 2008


Hallo Someonelse,

Dein Tipp ist ja gut gemeint, aber ich fürchte es ist lediglich eine Symptombekämpfung, die Punkte die ich dem TO zum Abackern aufgegeben habe (besonders das Tool Combofix) sind da gründlicher als ein einfacher Registryhack.
__________________
Logfiles bitte immer in CODE-Tags posten
Geändert von root24 (28.08.2008 um 18:41 Uhr) Grund: Rächdschraipfeelär korrigiert

Alt 28.08.2008, 18:37   #5
DomLin
 
Warning! Spyware detected on....XP Antivirus 2008 - Standard

Warning! Spyware detected on....XP Antivirus 2008


Hi Ihr beiden ..

Danke für die schnellen Antwort...

Bin gerade am Abrackern der Punkte von root24.. Ziemlich witzig, da ich mit dem "viruspc" nicht mehr richtig ins internet komme, wie weiter oben erwähnt...

nun bin ich gerade dabei, mit dem laptop die dateien auf den "viruspc" zu ziehen.. melde mich später sobald ic alles komplett habe .. danke euch !


Alt 28.08.2008, 19:28   #6
DomLin
 
Warning! Spyware detected on....XP Antivirus 2008 - Standard

Warning! Spyware detected on....XP Antivirus 2008


So da bin ich wieder:

Also los:

1. Systemwiederherstellung ist deaktiviert

2.

Sysrest ist verschwunden? kann die Datei nicht mehr finden...auch nciht bei den versteckten dateien und den prozessen

C:\Windows\system32\lphc3ddj0er3c.exe

Code:
ATTFilter
MD5:  	609e59d17a35e514caea543868134d7a
First received: 	2008.08.25 09:04:49 (CET)
Datum 	2008.08.26 09:56:21 (CET) [>2D]
Ergebnisse 	12/36
Permalink: 	analisis/4ccfb99b60b4aa1598f2ae27ba71e4b1

File size: 199168 bytes
MD5...: 609e59d17a35e514caea543868134d7a
SHA1..: eb5db8bc5ae5687361549197b55a4f56c5a394e5
SHA256: d566ad1822c2246a943a5c448dcc1b09b3ba1440d6c690391aa5ecc9f80e6cd4
SHA512: 7ffd7e65d75f112694607b152c93fc3d93ab10afabd1b55bd1ff5c1d1a5c0c33
ae37aa3375d02c9d3647bdddee6959c1984b8149b87d3e958311204ff1ade818
PEiD..: -
TrID..: File type identification
Win32 Executable Generic (38.4%)
Win32 Dynamic Link Library (generic) (34.2%)
Clipper DOS Executable (9.1%)
Generic Win/DOS Executable (9.0%)
DOS Executable Generic (9.0%)
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x4066c9
timedatestamp.....: 0x48a5befd (Fri Aug 15 17:38:05 2008)
machinetype.......: 0x14c (I386)

( 4 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0xecfb 0x9200 7.99 67795eee06789c0a2f8e2358e9a8e0b6
.rdata 0x10000 0x3cd3 0x1800 7.97 b3c34e7072bce1c86ac8b15408500f54
.data 0x14000 0xb66fa 0x22c00 8.00 349e385fc500f5fdf2e5a7ea28e0072b
.rsrc 0xcb000 0xf000 0x3000 6.62 d2f28c23e77dbea4100179f07bcfc66f

( 4 imports )
> wsock32.dll: bind, WSAStartup, listen
> kernel32.dll: CreatePipe, TerminateProcess, VirtualProtect
> gdi32.dll: SetRelAbs, StretchBlt, SetICMMode, ResetDCW, UpdateColors, SaveDC, TextOutW, SetDIBColorTable
> shell32.dll: SHAppBarMessage, StrRChrIA, StrStrIA

( 0 exports )
Weitere dateien gefunden:

blphc3ddj0er3c.scr
phc3ddj0er3c.bmp (ist auch das desktop auf dem pc derzeit)

3. MBR Tool
Code:
ATTFilter
Stealth MBR rootkit detector 0.2.4 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK
4.1 Blacklight

startet nicht

4.2 Malwarebytes

Code:
ATTFilter
Malwarebytes' Anti-Malware 1.25
Datenbank Version: 1092
Windows 5.1.2600 Service Pack 2

19:40:30 28.08.2008
mbam-log-08-28-2008 (19-40-30).txt

Scan-Methode: Vollständiger Scan (C:\|D:\|E:\|F:\|)
Durchsuchte Objekte: 143059
Laufzeit: 23 minute(s), 21 second(s)

Infizierte Speicherprozesse: 1
Infizierte Speichermodule: 1
Infizierte Registrierungsschlüssel: 6
Infizierte Registrierungswerte: 7
Infizierte Dateiobjekte der Registrierung: 2
Infizierte Verzeichnisse: 0
Infizierte Dateien: 32

Infizierte Speicherprozesse:
C:\Windows\system32\lphc3ddj0er3c.exe (Trojan.FakeAlert) -> Unloaded process successfully.

Infizierte Speichermodule:
C:\Windows\system32\blphc3ddj0er3c.scr (Trojan.FakeAlert) -> Delete on reboot.

Infizierte Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\tdssdata (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\tdss (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Software Notifier (Rogue.Multiple) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\sysrest.sys (Rootkit.Agent) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\sysrest.sys (Rootkit.Agent) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sysrest.sys (Rootkit.Agent) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\sysrest32.exe (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\lphc3ddj0er3c (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\inrhc7ddj0er3c (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\Control Panel\Desktop\wallpaper (Hijack.Wallpaper) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\Control Panel\Desktop\originalwallpaper (Hijack.Wallpaper) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\Control Panel\Desktop\convertedwallpaper (Hijack.Wallpaper) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\Control Panel\Desktop\scrnsave.exe (Hijack.Wallpaper) -> Quarantined and deleted successfully.

Infizierte Dateiobjekte der Registrierung:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\NoDispBackgroundPage (Hijack.DisplayProperties) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\NoDispScrSavPage (Hijack.DisplayProperties) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\Windows\system32\blphc3ddj0er3c.scr (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Temporary Internet Files\Content.IE5\UQ5OA14A\sysftp[1].exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Wayne\Anwendungsdaten\Desktopicon\eBayShortcuts.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Wayne\Lokale Einstellungen\Temp\1F.tmp (Backdoor.Rustock) -> Quarantined and deleted successfully.
C:\Neuer Ordner\blphc3ddj0er3c.scr (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\Windows\Temp\33998C78.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\Programme\Mozilla Firefox\setupapi.dll (Trojan.Agent) -> Quarantined and deleted successfully.
C:\Windows\system32\sysrest32.exe (Trojan.Agent) -> Delete on reboot.
C:\Windows\system32\tdssadw.dll (Trojan.Agent) -> Delete on reboot.
C:\Windows\system32\tdssl.dll (Trojan.Agent) -> Delete on reboot.
C:\Windows\system32\tdssserf.dll (Trojan.Agent) -> Delete on reboot.
C:\Windows\system32\tdssmain.dll (Trojan.Agent) -> Quarantined and deleted successfully.
C:\Windows\system32\tdssinit.dll (Trojan.Agent) -> Quarantined and deleted successfully.
C:\Windows\system32\tdsslog.dll (Trojan.Agent) -> Delete on reboot.
C:\Windows\system32\tdssservers.dat (Trojan.Agent) -> Quarantined and deleted successfully.
C:\Windows\system32\drivers\tdssserv.sys (Trojan.Agent) -> Delete on reboot.
C:\Windows\system32\lphc3ddj0er3c.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\Windows\system32\phc3ddj0er3c.bmp (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Wayne\Lokale Einstellungen\Temp\.tt74.tmp.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\Windows\system32\sysrest.sys (Rootkit.Agent) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Wayne\Lokale Einstellungen\Temp\.tt15.tmp (Trojan.Agent) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Wayne\Lokale Einstellungen\Temp\.tt4.tmp (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Wayne\Lokale Einstellungen\Temp\.tt5.tmp (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Wayne\Lokale Einstellungen\Temp\.tt6.tmp (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Wayne\Lokale Einstellungen\Temp\.tt7.tmp (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Wayne\Lokale Einstellungen\Temp\.tt8.tmp (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Wayne\Lokale Einstellungen\Temp\.tt9.tmp (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Wayne\Lokale Einstellungen\Temp\.ttA.tmp (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Wayne\Lokale Einstellungen\Temp\.ttB.tmp (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Wayne\Lokale Einstellungen\Temp\.ttC.tmp (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Wayne\Lokale Einstellungen\Temp\.ttD.tmp (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Wayne\Lokale Einstellungen\Temp\.ttE.tmp (Trojan.Downloader) -> Quarantined and deleted successfully.
5. Combofix

Code:
ATTFilter
ComboFix 08-08-27.06 - Wayne 2008-08-28 20:15:00.1 - NTFSx86
Microsoft Windows XP Professional  5.1.2600.2.1252.1.1031.18.621 [GMT 2:00]
ausgeführt von:: C:\Dokumente und Einstellungen\Wayne\Desktop\ComboFix.exe
Command switches used :: C:\Dokumente und Einstellungen\Wayne\Desktop\WindowsXP-KB310994-SP2-Pro-BootDisk-DEU.exe
 * Neuer Wiederherstellungspunkt wurde erstellt
.

((((((((((((((((((((((((((((((((((((   Weitere L”schungen   ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\WINDOOF\system32\actskn43.ocx
C:\WINDOOF\system32\dao350.dll
C:\WINDOOF\system32\drivers\232bf7cb.sys

.
(((((((((((((((((((((((((((((((((((((((   Treiber/Dienste   )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_SYSREST.SYS
-------\Legacy_TDSSSERV
-------\Service_232bf7cb
-------\Service_tdssserv


(((((((((((((((((((((((   Dateien erstellt von 2008-07-28 bis 2008-08-28  ))))))))))))))))))))))))))))))
.

2008-08-28 20:17 . 2008-08-28 20:17	<DIR>	d--------	C:\WINDOOF\system32\xircom
2008-08-28 20:17 . 2008-08-28 20:17	<DIR>	d--------	C:\Programme\microsoft frontpage
2008-08-28 20:06 . 2008-08-28 20:06	<DIR>	d--------	C:\Programme\CCleaner
2008-08-28 19:04 . 2008-08-28 19:04	<DIR>	d--------	C:\Programme\Malwarebytes' Anti-Malware
2008-08-28 19:04 . 2008-08-28 19:04	<DIR>	d--------	C:\Dokumente und Einstellungen\Wayne\Anwendungsdaten\Malwarebytes
2008-08-28 19:04 . 2008-08-28 19:04	<DIR>	d--------	C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
2008-08-28 19:04 . 2008-08-17 15:01	38,472	--a------	C:\WINDOOF\system32\drivers\mbamswissarmy.sys
2008-08-28 19:04 . 2008-08-17 15:01	17,144	--a------	C:\WINDOOF\system32\drivers\mbam.sys
2008-08-28 18:50 . 2008-08-28 20:11	<DIR>	d--------	C:\Neuer Ordner
2008-08-27 20:55 . 2008-08-27 20:55	<DIR>	d--------	C:\Programme\Panda Security
2008-08-26 23:08 . 2008-08-26 23:08	<DIR>	d--------	C:\Programme\Enigma Software Group
2008-08-26 18:46 . 2008-03-07 21:44	<DIR>	d--h-----	C:\Dokumente und Einstellungen\Administrator\Vorlagen
2008-08-26 18:46 . 2008-03-07 21:38	<DIR>	dr-------	C:\Dokumente und Einstellungen\Administrator\Startmen
2008-08-26 18:46 . 2008-03-07 21:38	<DIR>	d--h-----	C:\Dokumente und Einstellungen\Administrator\Netzwerkumgebung
2008-08-26 18:46 . 2008-03-07 21:38	<DIR>	d--h-----	C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen
2008-08-26 18:46 . 2008-03-07 21:49	<DIR>	dr-------	C:\Dokumente und Einstellungen\Administrator\Favoriten
2008-08-26 18:46 . 2008-03-07 21:49	<DIR>	dr-------	C:\Dokumente und Einstellungen\Administrator\Eigene Dateien
2008-08-26 18:46 . 2008-03-07 21:38	<DIR>	d--h-----	C:\Dokumente und Einstellungen\Administrator\Druckumgebung
2008-08-26 18:46 . 2008-03-08 15:10	<DIR>	d--------	C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Thunderbird
2008-08-26 18:46 . 2008-08-26 20:40	<DIR>	dr-h-----	C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten
2008-08-26 18:46 . 2008-08-26 18:59	<DIR>	d--------	C:\Dokumente und Einstellungen\Administrator
2008-08-26 18:15 . 2008-08-26 18:15	<DIR>	d--------	C:\Programme\Trend Micro
2008-08-02 15:45 . 2008-08-07 19:42	<DIR>	d--------	C:\SPG-Verein
2008-08-02 15:45 . 1998-10-26 10:56	436,736	--a------	C:\WINDOOF\system32\cm32b2.dll
2008-08-02 15:45 . 1998-10-22 14:44	256,000	--a------	C:\WINDOOF\system32\cm32ct5.dll
2008-08-02 15:45 . 1998-07-21 09:31	122,880	--a------	C:\WINDOOF\system32\cm32b2o.ocx
2008-08-02 15:45 . 1997-10-13 17:14	114,176	--a------	C:\WINDOOF\system32\imdt4s32.ocx
2008-08-02 15:45 . 1998-04-29 18:04	100,864	--a------	C:\WINDOOF\system32\cm32ut4.dll
2008-08-02 15:45 . 1998-10-22 14:39	63,488	--a------	C:\WINDOOF\system32\cm32cr2.dll
2008-08-02 15:45 . 1998-10-22 11:24	38,400	--a------	C:\WINDOOF\system32\cm32b200.lng
2008-08-02 15:44 . 2008-08-02 15:44	<DIR>	d--------	C:\Dokumente und Einstellungen\Wayne\WINDOWS
2008-08-02 15:44 . 1998-02-06 22:35	304,128	--a------	C:\WINDOOF\unin0407.exe

.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-08-28 17:40	---------	d-----w	C:\Dokumente und Einstellungen\Wayne\Anwendungsdaten\Desktopicon
2008-08-28 15:49	---------	d-----w	C:\Programme\Mozilla Thunderbird
2008-08-27 17:19	---------	d-----w	C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Google Updater
2008-08-25 17:34	---------	d-----w	C:\Programme\a-squared Free
2008-08-24 21:23	---------	d-----w	C:\Dokumente und Einstellungen\Wayne\Anwendungsdaten\FileZilla
2008-08-06 21:12	---------	d-----w	C:\Programme\Google
2008-07-20 19:29	---------	d-----w	C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Roxio
2008-07-20 14:52	---------	d-----w	C:\Programme\Gemeinsame Dateien\Research In Motion
2008-07-20 14:20	---------	d-----w	C:\Dokumente und Einstellungen\Wayne\Anwendungsdaten\Research In Motion
2008-07-20 14:17	---------	d-----w	C:\Programme\Gemeinsame Dateien\Sonic Shared
2008-07-20 14:17	---------	d-----w	C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Sonic
2008-07-20 14:17	---------	d-----w	C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\InstallShield
2008-07-20 14:16	---------	d-----w	C:\Programme\Roxio
2008-07-20 14:15	---------	d-----w	C:\Programme\Gemeinsame Dateien\Roxio Shared
2008-07-20 13:58	---------	d-----w	C:\Programme\Research In Motion
2008-07-02 19:38	---------	d-----w	C:\Programme\VOX3DPlaner2
2008-07-02 18:18	---------	d-----w	C:\Programme\Java
2008-06-30 19:24	---------	d-----w	C:\Programme\AppleJuice
2008-06-30 16:36	---------	d--h--w	C:\Programme\InstallShield Installation Information
2008-06-30 16:35	---------	d-----w	C:\Programme\Gemeinsame Dateien\AVSMedia
2008-06-30 16:35	---------	d-----w	C:\Programme\AVS4YOU
2008-06-30 16:34	---------	d-----w	C:\Programme\Mini-stream
2008-03-07 23:41	32,768	--sha-w	C:\WINDOOF\system32\config\systemprofile\Lokale Einstellungen\Verlauf\History.IE5\MSHist012008030820080309\index.dat
.

------- Sigcheck -------

2007-03-17 20:06  508928  10d53e677a6962b964839073e492c84b	C:\WINDOOF\system32\winlogon.exe
.
((((((((((((((((((((((((((((   Autostart Punkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ctfmon.exe"="C:\WINDOOF\system32\ctfmon.exe" [2004-08-04 00:57 15360]
"GMX_GMX MultiMessenger"="C:\Programme\GMX\GMX MultiMessenger\MESSENGR.EXE" [2008-07-10 16:23 4744616]
"MSMSGS"="C:\Programme\Messenger\msmsgs.exe" [2007-03-17 20:59 1694208]
"ICQ"="C:\Programme\ICQ6\ICQ.exe" [2008-04-01 12:40 172280]
"AdobeUpdater"="C:\Programme\Gemeinsame Dateien\Adobe\Updater5\AdobeUpdater.exe" [2007-03-01 11:37 2321600]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"StartCCC"="C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" [2008-01-21 13:17 61440]
"WinampAgent"="C:\Programme\Winamp\winampa.exe" [2008-01-16 00:54 37376]
"IMJPMIG8.1"="C:\WINDOOF\IME\imjp8_1\IMJPMIG.EXE" [2007-03-17 20:06 208952]
"MSPY2002"="C:\WINDOOF\system32\IME\PINTLGNT\ImScInst.exe" [2004-08-03 22:31 59392]
"PHIME2002ASync"="C:\WINDOOF\system32\IME\TINTLGNT\TINTSETP.EXE" [2004-08-03 22:32 455168]
"PHIME2002A"="C:\WINDOOF\system32\IME\TINTLGNT\TINTSETP.EXE" [2004-08-03 22:32 455168]
"EPSON Stylus D68 Series"="C:\WINDOOF\System32\spool\DRIVERS\W32X86\3\E_FATIAAE.EXE" [2005-01-25 07:00 98304]
"Adobe Reader Speed Launcher"="C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 23:16 39792]
"TrayServer"="C:\Programme\MAGIX\Video_deluxe_2007_2008_PLUS\TrayServer.exe" [2007-03-29 13:05 90112]
"UnlockerAssistant"="C:\Programme\Unlocker\UnlockerAssistant.exe" [2008-03-01 07:10 15872]
"NeroFilterCheck"="C:\WINDOOF\system32\NeroCheck.exe" [2006-01-12 16:40 155648]
"SunJavaUpdateSched"="C:\Programme\Java\jre1.5.0_12\bin\jusched.exe" [2007-05-02 04:15 75520]
"RoxWatchTray"="C:\Programme\Gemeinsame Dateien\Roxio Shared\9.0\SharedCOM\RoxWatchTray9.exe" [2007-08-16 08:56 236016]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce]
"ShowDeskFix"="shell32" [X]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"ForceClassicControlPanel"= 1 (0x1)

[HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer]
"ForceClassicControlPanel"= 1 (0x1)

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"VIDC.YV12"= yv12vfw.dll

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\securityproviders]
SecurityProviders	msapsspc.dllschannel.dlldigest.dllmsnsspc.dll

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusDisableNotify"=dword:00000001
"UpdatesDisableNotify"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)
"DisableUnicastResponsesToMulticastBroadcast"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"%windir%\\system32\\sessmgr.exe"=
"C:\\Programme\\GMX\\GMX MultiMessenger\\MESSENGR.EXE"=
"C:\\Programme\\ICQ6\\ICQ.exe"=


[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\H]
\Shell\AutoRun\command - H:\setup.exe
.
.
------- Zus„tzlicher Scan -------
.
FireFox -: Profile - C:\Dokumente und Einstellungen\Wayne\Anwendungsdaten\Mozilla\Firefox\Profiles\kf2d124h.default\
FF -: plugin - C:\Programme\Google\Google Updater\2.2.1172.2021\npCIDetect11.dll
FF -: plugin - C:\Programme\Java\jre1.5.0_12\bin\NPJava11.dll
FF -: plugin - C:\Programme\Java\jre1.5.0_12\bin\NPJava12.dll
FF -: plugin - C:\Programme\Java\jre1.5.0_12\bin\NPJava13.dll
FF -: plugin - C:\Programme\Java\jre1.5.0_12\bin\NPJava14.dll
FF -: plugin - C:\Programme\Java\jre1.5.0_12\bin\NPJava32.dll
FF -: plugin - C:\Programme\Java\jre1.5.0_12\bin\NPJPI150_12.dll
FF -: plugin - C:\Programme\Java\jre1.5.0_12\bin\NPOJI610.dll
.

**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-08-28 20:18:01
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Eintr„ge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
------------------------ Weitere, laufende Prozesse ------------------------
.
C:\WINDOOF\system32\ati2evxx.exe
C:\WINDOOF\system32\ati2evxx.exe
C:\Programme\a-squared Free\a2service.exe
C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\Programme\ATI Technologies\ATI.ACE\Core-Static\MOM.exe
C:\Programme\Google\Google Updater\GoogleUpdater.exe
C:\WINDOOF\system32\wscntfy.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2008-08-28 20:23:02 - PC wurde neu gestartet
ComboFix-quarantined-files.txt  2008-08-28 18:22:58

Pre-Run: 13 Verzeichnis(se), 21,345,013,760 Bytes frei
Post-Run: 18 Verzeichnis(se), 22,952,968,192 Bytes frei

WindowsXP-KB310994-SP2-Pro-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOOF
[operating systems]
C:\CMDCONS\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(1)\WINDOOF="Microsoft Windows XP Professional" /noexecute=optin /fastdetect

178
Ein riesen Danke für die Mühen im vorraus!

Das System läuft jetzt schon besser - ich komme wieder auf die Websites und mache gerade einen Onlinescan bei Panda - Desweiteren habe ich auch meinen Desktop wieder...

Der "Fall" ist aber noch nicht abgeschlossen, oder?
Geändert von DomLin (28.08.2008 um 19:37 Uhr)

Alt 28.08.2008, 19:39   #7
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Warning! Spyware detected on....XP Antivirus 2008 - Ausrufezeichen

Warning! Spyware detected on....XP Antivirus 2008


Hier haben wir den Salat:

Zitat:
C:\Dokumente und Einstellungen\Wayne\Lokale Einstellungen\Temp\1F.tmp (Backdoor.Rustock)
C:\Windows\system32\drivers\tdssserv.sys (Trojan.Agent)


Treiber/Dienste:
-------\Legacy_TDSSSERV
-------\Service_232bf7cb
-------\Service_tdssserv
Zum TDSSSERV kann ich Dir diese nette Anekdote verlinken...

=> tdssserv.sys, Clbdriver/Troj/NtRootK-DR malware.

Bei Backdoorbefall sollte nicht mehr bereinigt, sondern neu aufgesetzt werden, da Dritte Vollzugriff auf Deinen Rechner hatten und beliebige Aktionen durchführen konnten wie z.B. Systemdateien austauschen etc. siehe auch http://de.wikipedia.org/wiki/Technische_Kompromittierung

Zumindest Dein MBR scheint i.O. zu sein, so daß ein normales Formatieren und Neuaufsetzen ausreicht.

Änder ALLE Paßwörter von einem sauberen PC aus oder spätestens dann wenn der PC neu installiert ist!!
__________________
Logfiles bitte immer in CODE-Tags posten

Alt 28.08.2008, 19:50   #8
DomLin
 
Warning! Spyware detected on....XP Antivirus 2008 - Standard

Warning! Spyware detected on....XP Antivirus 2008


Uhhh ich ahnte es kommen - da werde ich wohl nicht drum rum kommen...

Reicht es, wenn ich nur "C:" platt mache, oder alle anderen Partitionen und festplatten auch? das wäre nämlich richtig eklig

Danke für die schnelle und kompetente Hilfe jedenfalls!

Alt 28.08.2008, 19:52   #9
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Warning! Spyware detected on....XP Antivirus 2008 - Cool

Warning! Spyware detected on....XP Antivirus 2008


Systempartition formatieren reicht aus. Du solltest aber verbliebene ausführbare Dateien wie Programme, Spiele, Setups etc. pp. auf den nicht formatierten Partitionen löschen. Behalten kannst Du Dateien wie Musik, Videos, Bilder, Officedateien.
__________________
Logfiles bitte immer in CODE-Tags posten

Alt 28.08.2008, 19:54   #10
DomLin
 
Warning! Spyware detected on....XP Antivirus 2008 - Standard

Warning! Spyware detected on....XP Antivirus 2008


Ok, root!

Spiele, etc. habe ich nicht - von daher komme ich hoffentlich mit einem blauen auge davon!

DANKE FÜR DEN UNKOMPLIZIERTEN SUPPORT!

Alt 29.08.2008, 02:17   #11
dragonor
 
Warning! Spyware detected on....XP Antivirus 2008 - Standard

Warning! Spyware detected on....XP Antivirus 2008


moin moin,

hatte grad eben das gleiche Problem wie DomLin (also Antivirus XP wollte sich installieren). Momentan konnte ich aber das Problem auch beheben (danke übrigens für die tools ), wenngleich es bei den gefundenen Fehlern/Ergebnissen den ein oder anderen kleinen Unterschied gibt.. worüber ich hier mal nachfragen wollte.

Bin eigentlich fast so vorgegangen, wie root24 es hier beschrieben hatte, nur das ich vorher schon im abgesicherten Modus versucht habe, das Problem mit Antivir bzw. Spybot zu bekämpfen (was mir auch das ein oder andere Ergebnis brachte, aber nach nem Neustart kam wieder die AntivirusXP-Installabfrage). Mit CCleaner bzw. ComboFix konnte ich dann diese Installabfrage generell beheben.


Unterschiede, die ich aber im Vergleich zu DomLin's Ergebnissen bei mir sehe (bzw. die root24 nochmal extra beschrieben hatte):

- Backdoor.Rustock wurde bei mir generell nicht gefunden
- tdssserv.sys scheint es bei mir nie gegeben zu haben (ein paar andere tdss**-Dateien hat ComboFix wie bei DomLin ausgemerzt.. k.A. ob evtl CCleaner diese Datei gelöscht haben könnte?!)
- ComboFix hat bei mir keine Treiber/Dienste bemängelt
- tdssserf.dll gibt es bei mir noch im system32-ordner und wurde bisher bei noch keinem Scan (ComboFix, Malwarebytes, Antivir, Panda Online) bemängelt
- ComboFix hat bei mir ne Datei MSINET.oca gelöscht, aber k.A. ob die zwangsläufig mit zum AntivirusXP gehörte..


Kann ich evtl aus diesen Unterschieden gewisse positive Aspekte ziehen, oder komm ich ums formatieren/WinXp neu aufspielen trotzdem nicht herum?
Geändert von dragonor (29.08.2008 um 02:56 Uhr)

Alt 29.08.2008, 15:21   #12
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Warning! Spyware detected on....XP Antivirus 2008 - Ausrufezeichen

Warning! Spyware detected on....XP Antivirus 2008


Zitat:
Zitat von dragonor Beitrag anzeigen
Unterschiede, die ich aber im Vergleich zu DomLin's Ergebnissen bei mir sehe (bzw. die root24 nochmal extra beschrieben hatte):

- Backdoor.Rustock wurde bei mir generell nicht gefunden
- tdssserv.sys scheint es bei mir nie gegeben zu haben (ein paar andere tdss**-Dateien hat ComboFix wie bei DomLin ausgemerzt.. k.A. ob evtl CCleaner diese Datei gelöscht haben könnte?!)
Es ist äußerst unwahrscheinlich, daß Dein Infektionsfall mit dem vom TO identisch ist, von daher ist es vollkommen normal, daß einige Malwarekomponenten bei Dir nicht gefunden werden weil sie garnicht installiert sind bei Dir!

Zitat:
Kann ich evtl aus diesen Unterschieden gewisse positive Aspekte ziehen, oder komm ich ums formatieren/WinXp neu aufspielen trotzdem nicht herum?
Wer mit Garantie seinen PC malwarefrei haben will, muss formatieren (keine Frage), wenn man Dein System genauer analysieren soll, dann mach für Dein Problem bitte einen eigenen Strang - der Übersicht wegen - auf und poste relevante Logfiles dort mit Codetags umschlossen.
__________________
Logfiles bitte immer in CODE-Tags posten

Antwort

Themen zu Warning! Spyware detected on....XP Antivirus 2008
antivirus, bho, browser, computer, desktop, drivers, einstellungen, firefox, google, helfen, highjackthis, hijack, hijackthis, hkus\s-1-5-18, home, internet, internet explorer, langsam, locker, logfile, magix, mozilla, mozilla firefox, mozilla thunderbird, regsvr32, rundll, software, spyware, system, urlsearchhook, usb, virus, wallpapers, windows, windows xp


« pc installiert und startet eigenständig Anwendungen | Ich weis nicht mehr weiter!!! »


Ähnliche Themen: Warning! Spyware detected on....XP Antivirus 2008


  1. Warning! Spyware detected on your computer! ... oh nein =(
    Log-Analyse und Auswertung - 22.09.2008 (3)
  2. Hilfe!! Warning! Spyware detected on your computer
    Log-Analyse und Auswertung - 20.09.2008 (1)
  3. Warning! Spyware detected on....XP Antivirus 2008
    Plagegeister aller Art und deren Bekämpfung - 19.09.2008 (0)
  4. Warning Spyware Detected ...
    Log-Analyse und Auswertung - 17.09.2008 (2)
  5. Warning! Spyware & Antivirus XP 2008
    Plagegeister aller Art und deren Bekämpfung - 13.09.2008 (5)
  6. Warning! Spyware detected on your computer install an antivirus or spyware remover to
    Plagegeister aller Art und deren Bekämpfung - 11.09.2008 (30)
  7. Warning! Spyware detected on your computer...
    Log-Analyse und Auswertung - 27.08.2008 (3)
  8. Warning! Spyware detected.. Bitte um Mithilfe
    Log-Analyse und Auswertung - 27.08.2008 (7)
  9. Warning Spyware Detected on your Computer!
    Log-Analyse und Auswertung - 27.08.2008 (2)
  10. Warning Spyware detected. Bluescreenfake!
    Plagegeister aller Art und deren Bekämpfung - 25.08.2008 (2)
  11. Warning. Spyware detected on your computer. Install an Antivirus or spyware ...
    Plagegeister aller Art und deren Bekämpfung - 25.08.2008 (4)
  12. Warning! Spyware detected on your Computer ! Hilfe
    Log-Analyse und Auswertung - 24.08.2008 (10)
  13. Warning! Spyware detected on your computer!
    Log-Analyse und Auswertung - 22.08.2008 (9)
  14. Problem: Warning Spyware detected on your computer
    Log-Analyse und Auswertung - 21.08.2008 (1)
  15. Warning! Spyware detected on Computer
    Plagegeister aller Art und deren Bekämpfung - 19.08.2008 (1)
  16. Warning! Spyware detected on your Computer!
    Plagegeister aller Art und deren Bekämpfung - 16.08.2008 (2)
  17. Spyware detected - Warning - blauer Hintergrund
    Log-Analyse und Auswertung - 31.05.2008 (4)
Anleitungen und Tipps

- Für alle Hilfesuchenden! Was beachten?

- Anleitung: MyStartSearch.com entfernen

- Anleitung: WebSearches löschen

- Hilfe: iStartSurf entfernen – so gehts!

- Anleitung: Omiga Plus richtig entfernen

- Browser Viren entfernen


Zum Thema Warning! Spyware detected on....XP Antivirus 2008 - Hallo zusammen, seit gestern wird mein Rechner von einem Virus gequält der sich wie folgt zu erkennen gibt: Auf dem Desktop erscheint anstatt des Wallpapers die Meldung: 1. Waring! Spyware - Warning! Spyware detected on....XP Antivirus 2008...
Archiv
Du betrachtest: Warning! Spyware detected on....XP Antivirus 2008 auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131