|
Log-Analyse und Auswertung: Warning! Spyware detected on your computer! ... oh nein =(Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
22.09.2008, 16:43 | #1 |
| Warning! Spyware detected on your computer! ... oh nein =( Hallo! Also habe ja schon einige Themen hier gelsesen darüber, und ich mach am besten mal ein eigenes auf (wegen Log-File ect.)... Angefangen hat es am Samstag abend! Mein PC war plötzlich sehr langsam und dann habe ich einfach nen Neustart gemacht - bin auch nicht mehr auf den Desktop gekommen. Nach dem Hochfahren kam plötzlich diese nachricht mit dem entsprechendem Windows-Hintergrund: "Warning! Spyware detected on your computer!" ...scheint hier ja schon bekannt zu sein. Aber anders als bei den ganzen restlichen Leuten hier, ist mein PC schon nach wenigen Sekunden wieder neu gestartet und das immer und immer wieder. Ich habe einen Freund angerufen und der hat für mich gegooglet. Er hat mir ein paar Sachen vorgelesen - "schwierig weg zu bekommen, bla bla". Da ich sowieso mein PC neu aufsetzen wollte, habe ich kurzer Hand formatiert. Alles lief wieder und ich war happy und dachte "juhu haste nochmal glück gehabt" Doch dann war ich Sonntag unterwegs und als ich mein PC wieder angemacht habe war es noch schlimmer!! Noch nicht mal mehr diese Meldung, sondern: Windows fährt hoch > "Willkommen..." > und bevor ich auf dem Desktop war ganz kurz bluescreen mit viel weißem Text und wieder von vorn das selbe (konnte den Text leider nicht so schnell lesen)! Jetzt bin ich im abgesicherten Modus drin und bekomme folgendes Log-File, weiß nicht obs im abgesicherten hilft... ~~~~~~~~~~~~~~~~~~~ Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 17:39:41, on 22.09.2008 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Boot mode: Safe mode with network support Running processes: C:\WINDOWS\system32\csrss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\wpabaln.exe C:\Programme\Mozilla Firefox\firefox.exe C:\Dokumente und Einstellungen\*****\Desktop\HiJackThis.exe C:\WINDOWS\system32\wbem\wmiprvse.exe O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\PROGRA~1\MICROS~2\Office12\GRA8E1~1.DLL O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_07\bin\jusched.exe" O4 - HKLM\..\Run: [C:\WINDOWS\system32\kdjdx.exe] C:\WINDOWS\system32\kdjdx.exe O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [GDFirewallTray] C:\Programme\G DATA InternetSecurity\Firewall\GDFirewallTray.exe O4 - HKLM\..\Run: [AVKTray] "C:\Programme\G DATA InternetSecurity\AVKTray\AVKTray.exe" O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O4 - Global Startup: G DATA Firewall Tray.lnk = ? O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O17 - HKLM\System\CCS\Services\Tcpip\..\{7FF1C13A-0EAC-480A-9583-DF799828DDEE}: NameServer = 85.255.115.116,85.255.112.222 O17 - HKLM\System\CCS\Services\Tcpip\..\{F5570E1B-7B49-4B9D-95E2-180A46BACDBC}: NameServer = 85.255.115.116,85.255.112.222 O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\PROGRA~1\MICROS~2\Office12\GR99D3~1.DLL O20 - Winlogon Notify: Antiwpa - C:\WINDOWS\SYSTEM32\antiwpa.dll O23 - Service: G DATA AntiVirus Proxy (AVKProxy) - G DATA Software AG - C:\Programme\Gemeinsame Dateien\G DATA\AVKProxy\AVKProxy.exe O23 - Service: G DATA Scheduler (AVKService) - G DATA Software AG - C:\Programme\G DATA InternetSecurity\AVK\AVKService.exe O23 - Service: AntiVirus Wächter (AVKWCtl) - G DATA Software AG - C:\Programme\G DATA InternetSecurity\AVK\AVKWCtl.exe O23 - Service: G DATA Personal Firewall (GDFwSvc) - G DATA Software AG - C:\Programme\G DATA InternetSecurity\Firewall\GDFwSvc.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe -- End of file - 5010 bytes ~~~~~~~~~~~~~~~~~~~~~~~~ wäre um Hilfe sehr sehr Dankbar! Bin wegen der Arebit auf den Computer angewiesen wenn ihr noch etwas braucht bitte sagen! gruss, und vielen dank schonmal für jede Hilfe! |
22.09.2008, 17:39 | #2 |
| Warning! Spyware detected on your computer! ... oh nein =( und hier der Malware-Bericht:
__________________Malwarebytes' Anti-Malware 1.28 Datenbank Version: 1193 Windows 5.1.2600 Service Pack 2 22.09.2008 18:37:27 mbam-log-2008-09-22 (18-37-27).txt Scan-Methode: Vollständiger Scan (C:\|) Durchsuchte Objekte: 67958 Laufzeit: 5 minute(s), 43 second(s) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 1 Infizierte Registrierungsschlüssel: 1 Infizierte Registrierungswerte: 0 Infizierte Dateiobjekte der Registrierung: 13 Infizierte Verzeichnisse: 1 Infizierte Dateien: 5 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: C:\WINDOWS\system32\antiwpa.dll (Malware.Tool) -> Delete on reboot. Infizierte Registrierungsschlüssel: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\antiwpa (Malware.Tool) -> Quarantined and deleted successfully. Infizierte Registrierungswerte: (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\System (Rootkit.DNSChanger.H) -> Data: kdjdx.exe -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{7ff1c13a-0eac-480a-9583-df799828ddee}\DhcpNameServer (Trojan.DNSChanger) -> Data: 85.255.115.116,85.255.112.222 -> Delete on reboot. HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{7ff1c13a-0eac-480a-9583-df799828ddee}\NameServer (Trojan.DNSChanger) -> Data: 85.255.115.116,85.255.112.222 -> Delete on reboot. HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{f5570e1b-7b49-4b9d-95e2-180a46bacdbc}\NameServer (Trojan.DNSChanger) -> Data: 85.255.115.116,85.255.112.222 -> Delete on reboot. HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Tcpip\Parameters\Interfaces\{7ff1c13a-0eac-480a-9583-df799828ddee}\DhcpNameServer (Trojan.DNSChanger) -> Data: 85.255.115.116,85.255.112.222 -> Delete on reboot. HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Tcpip\Parameters\Interfaces\{7ff1c13a-0eac-480a-9583-df799828ddee}\NameServer (Trojan.DNSChanger) -> Data: 85.255.115.116,85.255.112.222 -> Delete on reboot. HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Tcpip\Parameters\Interfaces\{f5570e1b-7b49-4b9d-95e2-180a46bacdbc}\NameServer (Trojan.DNSChanger) -> Data: 85.255.115.116,85.255.112.222 -> Delete on reboot. HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Tcpip\Parameters\Interfaces\{7ff1c13a-0eac-480a-9583-df799828ddee}\DhcpNameServer (Trojan.DNSChanger) -> Data: 85.255.115.116,85.255.112.222 -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Tcpip\Parameters\Interfaces\{7ff1c13a-0eac-480a-9583-df799828ddee}\NameServer (Trojan.DNSChanger) -> Data: 85.255.115.116,85.255.112.222 -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Tcpip\Parameters\Interfaces\{f5570e1b-7b49-4b9d-95e2-180a46bacdbc}\NameServer (Trojan.DNSChanger) -> Data: 85.255.115.116,85.255.112.222 -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\Tcpip\Parameters\Interfaces\{7ff1c13a-0eac-480a-9583-df799828ddee}\DhcpNameServer (Trojan.DNSChanger) -> Data: 85.255.115.116,85.255.112.222 -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\Tcpip\Parameters\Interfaces\{7ff1c13a-0eac-480a-9583-df799828ddee}\NameServer (Trojan.DNSChanger) -> Data: 85.255.115.116,85.255.112.222 -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\Tcpip\Parameters\Interfaces\{f5570e1b-7b49-4b9d-95e2-180a46bacdbc}\NameServer (Trojan.DNSChanger) -> Data: 85.255.115.116,85.255.112.222 -> Quarantined and deleted successfully. Infizierte Verzeichnisse: C:\resycled (Trojan.DNSChanger) -> Quarantined and deleted successfully. Infizierte Dateien: C:\WINDOWS\system32\kdjdx.exe (Rootkit.DNSChanger.H) -> Delete on reboot. C:\WINDOWS\Temp\tempo-02F.tmp (Trojan.DNSChanger) -> Quarantined and deleted successfully. C:\WINDOWS\Temp\tmp2E.tmp (Trojan.DNSChanger) -> Quarantined and deleted successfully. C:\resycled\boot.com (Trojan.DNSChanger) -> Quarantined and deleted successfully. C:\WINDOWS\system32\antiwpa.dll (Malware.Tool) -> Delete on reboot. |
22.09.2008, 18:17 | #3 |
| Warning! Spyware detected on your computer! ... oh nein =( SORRY HABS HINBEKOMMEN!!! ... Log-File-Post nicht mehr nötig!
__________________Geändert von brudan (22.09.2008 um 18:39 Uhr) Grund: GELÖST |
22.09.2008, 18:18 | #4 |
| Warning! Spyware detected on your computer! ... oh nein =( SORRY HABS HINBEKOMMEN!!! ... Log-File-Post nicht mehr nötig! Geändert von brudan (22.09.2008 um 18:39 Uhr) Grund: GELÖST |
Themen zu Warning! Spyware detected on your computer! ... oh nein =( |
abgesicherten modus, adobe, antivirus, antiwpa, bho, bluescree, bluescreen, browser, computer, ctfmon.exe, desktop, einstellungen, firefox, g data, hijack, hijackthis, hkus\s-1-5-18, internet, internet explorer, jusched.exe, langsam, mozilla, neu aufsetzen, proxy, rundll, security, sehr langsam, sekunden, senden, software, spyware, system, vielen dank, windows xp |