Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: Spywaredetected on Your Computer..

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 17.10.2008, 16:31   #1
RamonaH
 
Spywaredetected on Your Computer.. - Standard

Spywaredetected on Your Computer..



Hi,

also erstmal vor weg, ich verzweifel total..

Habe das gleiche problem wie viele andere auch und habe mir auch alles ganz brav und sorgfältig durchgelesen, aber mal so fast rein garnichts verstanden.

So, ich hoffe ihr könnt mir trotzdem irgendwie weiterhelfen. ( Und bitte habt etwas gedult )

Also, ich kann euch schon mal sagen das ich Windows XP drauf habe mit Servive Pack 3. ( glaub ich zumindest ?!)

Ausserdem habe ich es tatsächlich geschafft dieses HijackThis dingen zu machen ( sorry, wie ihr merkt habe ich echt keine ahnung )..

Ich kopiere das einfach mal mit rein hier und hoffe wirklich das ihr mir weiter helfen könnt.

GANZ DICKES DANKE schon mal im vorraus..

Lg Ramona

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 16:37:01, on 17.10.2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16735)
Boot mode: Normal

Running processes:
C:\WINDOWS.0\System32\smss.exe
C:\WINDOWS.0\system32\winlogon.exe
C:\WINDOWS.0\system32\services.exe
C:\WINDOWS.0\system32\lsass.exe
C:\WINDOWS.0\system32\Ati2evxx.exe
C:\WINDOWS.0\system32\svchost.exe
C:\WINDOWS.0\System32\svchost.exe
C:\WINDOWS.0\system32\spoolsv.exe
C:\WINDOWS.0\system32\Ati2evxx.exe
C:\WINDOWS.0\Explorer.EXE
C:\Programme\Java\jre1.6.0_06\bin\jusched.exe
C:\WINDOWS.0\system32\lphcvewj0en3l.exe
C:\WINDOWS.0\system32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\WINDOWS.0\service.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\WINDOWS.0\system32\svchost.exe
C:\WINDOWS.0\system32\wscntfy.exe
C:\WINDOWS.0\system32\wuauclt.exe
C:\Programme\Spybot - Search & Destroy\SpybotSD.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe
C:\Dokumente und Einstellungen\RaCo\Desktop\HJTInstall.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://start.hu.tl
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R3 - URLSearchHook: (no name) - {9CB65206-89C4-402c-BA80-02D8C59F9B1D} - (no file)
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: XML module - {500BCA15-57A7-4eaf-8143-8C619470B13D} - C:\WINDOWS.0\system32\msxml71.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_06\bin\ssv.dll
O2 - BHO: (no name) - {832F6083-1252-48D5-BFF7-DA4FE06CBF8D} - C:\WINDOWS.0\system32\certcl.dll
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\2.1.1119 .1736\swg.dll
O2 - BHO: WebManager Class - {D5792AA9-D373-4039-8670-2CDAB6A71F15} - (no file)
O3 - Toolbar: (no name) - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - (no file)
O3 - Toolbar: Ask Toolbar - {F0D4B239-DA4B-4daf-81E4-DFEE4931A4AA} - C:\Programme\AskSBar\bar\1.bin\ASKSBAR.DLL
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_06\bin\jusched.exe "
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Messenger Service] service.exe
O4 - HKLM\..\Run: [stupid creative poll axis] C:\Dokumente und Einstellungen\All Users.WINDOWS.0\Anwendungsdaten\Memo save stupid creative\Pop bone.exe
O4 - HKLM\..\Run: [lphcvewj0en3l] C:\WINDOWS.0\system32\lphcvewj0en3l.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS.0\system32\ctfmon.exe
O4 - HKCU\..\Run: [ante barb] C:\DOKUME~1\RaCo\ANWEND~1\PHONEL~1\UPLOAD ROAD IDOL.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS.0\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS.0\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-20\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS.0\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS.0\system32\CTFMON.EXE (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'Default user')
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_06\bin\ssv.dll
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search && Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS.0\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS.0\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{20B26F05-64B6-4386-A590-85C7740B4FCD}: NameServer = 62.109.123.6 213.191.92.87
O17 - HKLM\System\CS1\Services\Tcpip\..\{20B26F05-64B6-4386-A590-85C7740B4FCD}: NameServer = 62.109.123.6 213.191.92.87
O20 - AppInit_DLLs: C:\PROGRA~1\Google\GOOGLE~3\GOEC62~1.DLL
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS.0\system32\Ati2evxx.exe
O23 - Service: Google Desktop Manager 5.7.802.22438 (GoogleDesktopManager-022208-143751) - Google - C:\Programme\Google\Google Desktop Search\GoogleDesktop.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: TuneUp Drive Defrag-Dienst (TuneUp.Defrag) - TuneUp Software GmbH - C:\WINDOWS.0\System32\TuneUpDefragService.exe

--
End of file - 6605 bytes

Alt 18.10.2008, 13:03   #2
myrtille
/// TB-Ausbilder
 
Spywaredetected on Your Computer.. - Standard

Spywaredetected on Your Computer..



Hi,
du bist ordentlich infiziert.
Arbeite bitte mal folgendes ab:
ComboFix Ein Leitfaden und Tutorium zur Nutzung von ComboFix
  • Lade dir das Tool hier herunter auf den Desktop -> KLICK
Das Programm jedoch noch nicht starten sondern zuerst folgendes tun:
  • Schliesse alle Anwendungen und Programme, vor allem deine Antiviren-Software und andere Hintergrundwächter, sowie deinen Internetbrowser. Vermeide es auch explizit während das Combofix läuft die Maus und Tastatur zu benutzen.
  • Starte nun die combofix.exe von deinem Desktop aus, bestätige die Warnmeldungen und lass dein System durchsuchen.
  • Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte abkopieren und in deinen Beitrag einfügen. Das log findest du außerdem unter: C:\ComboFix.txt.
Wichtiger Hinweis:
Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat! Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.
Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten.


Ich kann dir allerdings jetzt schon sagen, dass das sehr wahrscheinlich ein Backdoortrojaner ist. Dass das Programm eventuell deine Passwörter/Daten ausliest und das ein Neuaufsetzen sicherlich die sicherste Variante ist.

lg myrtille
__________________

__________________

Alt 20.10.2008, 14:35   #3
RamonaH
 
Spywaredetected on Your Computer.. - Standard

Spywaredetected on Your Computer..



Hallo,

danke erstmal für deine hilfe,

habe alles gemacht und hier ist die liste von Combofix ;

ComboFix 08-10-19.04 - RaCo 2008-10-20 13:06:43.1 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.3.1252.1.1031.18.301 [GMT 2:00]
ausgeführt von:: C:\Dokumente und Einstellungen\RaCo\Desktop\ComboFix.exe
* Neuer Wiederherstellungspunkt wurde erstellt
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\Dokumente und Einstellungen\mark\Anwendungsdaten\WinAntiVirus Pro 2006
C:\Dokumente und Einstellungen\NetworkService\Anwendungsdaten\NetMon
C:\Dokumente und Einstellungen\NetworkService\Anwendungsdaten\NetMon\domains.txt
C:\Dokumente und Einstellungen\NetworkService\Anwendungsdaten\NetMon\log.txt
C:\WINDOWS.0\system32\gside.exe
C:\WINDOWS.0\system32\msxml71.dll
C:\WINDOWS.0\system32\winpfz33.sys

.
((((((((((((((((((((((( Dateien erstellt von 2008-09-20 bis 2008-10-20 ))))))))))))))))))))))))))))))
.

2008-10-17 22:19 . 2008-10-17 22:19 0 --a--c--- C:\ARK89.tmp
2008-10-17 20:42 . 2008-10-17 20:42 <DIR> d-------- C:\Programme\Avira
2008-10-17 16:45 . 2008-10-17 16:45 101 --a--c--- C:\WINDOWS.0\wininit.ini
2008-10-17 16:34 . 2008-10-17 16:34 <DIR> d-------- C:\Programme\Trend Micro
2008-10-17 14:38 . 2008-10-17 14:38 <DIR> d-------- C:\Programme\Phone Love Site
2008-10-15 10:46 . 2008-09-08 12:41 333,824 -----c--- C:\WINDOWS.0\system32\dllcache\srv.sys
2008-10-15 10:45 . 2008-08-14 15:19 2,191,488 -----c--- C:\WINDOWS.0\system32\dllcache\ntoskrnl.exe
2008-10-15 10:45 . 2008-08-14 15:19 2,147,840 -----c--- C:\WINDOWS.0\system32\dllcache\ntkrnlmp.exe
2008-10-15 10:45 . 2008-08-14 15:19 2,068,352 -----c--- C:\WINDOWS.0\system32\dllcache\ntkrnlpa.exe
2008-10-15 10:45 . 2008-08-14 15:19 2,026,496 -----c--- C:\WINDOWS.0\system32\dllcache\ntkrpamp.exe
2008-10-15 10:45 . 2008-09-15 17:24 1,846,528 -----c--- C:\WINDOWS.0\system32\dllcache\win32k.sys
2008-10-13 19:16 . 2008-10-13 19:16 17,737 --a--c--- C:\WINDOWS.0\system32\TuneUpDefragService_20081013-171632.dmp
2008-09-23 10:13 . 2008-09-23 10:13 <DIR> d----c--- C:\Dokumente und Einstellungen\All Users.WINDOWS.0\Anwendungsdaten\TuneUp Software
2008-09-23 10:13 . 2008-09-23 10:13 306,432 --a--c--- C:\WINDOWS.0\system32\TuneUpDefragService.exe
2008-09-23 10:13 . 2007-12-20 10:41 29,440 --a--c--- C:\WINDOWS.0\system32\uxtuneup.dll
2008-09-23 10:12 . 2008-09-23 10:13 <DIR> d-------- C:\Programme\TuneUp Utilities 2008
2008-09-21 16:37 . 2005-01-11 00:12 292,061 --a--c--- C:\WINDOWS.0\LogonBG.png
2008-09-21 16:37 . 2005-01-11 00:12 1,494 --a--c--- C:\WINDOWS.0\BUTTON2.png
2008-09-21 15:50 . 2008-06-16 06:20 442 --ahsc--- C:\BOOT.BKK
2008-09-21 15:01 . 2004-12-19 23:00 111,104 --a--c--- C:\WINDOWS.0\system32\uharc.exe
2008-09-21 15:01 . 2004-09-03 23:43 199 --a--c--- C:\WINDOWS.0\system32\paypal.url
2008-09-21 15:01 . 2005-01-28 01:49 111 --a--c--- C:\WINDOWS.0\system32\winx.url
2008-09-21 14:37 . 2008-10-09 21:02 45 --a--c--- C:\TEST.XML
2008-09-21 14:36 . 2008-09-21 14:36 <DIR> d-------- C:\Programme\TGTSoft

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-10-19 15:27 --------- dc----w C:\Dokumente und Einstellungen\All Users.WINDOWS.0\Anwendungsdaten\Google Updater
2008-10-17 19:06 --------- dc----w C:\Dokumente und Einstellungen\RaCo\Anwendungsdaten\Phone Love Site
2008-10-17 18:42 --------- dc----w C:\Dokumente und Einstellungen\All Users.WINDOWS.0\Anwendungsdaten\Avira
2008-10-17 14:54 --------- dc----w C:\Dokumente und Einstellungen\All Users.WINDOWS.0\Anwendungsdaten\Spybot - Search & Destroy
2008-10-17 14:08 --------- d-----w C:\Programme\Spybot - Search & Destroy
2008-10-17 12:39 --------- dc----w C:\Dokumente und Einstellungen\All Users.WINDOWS.0\Anwendungsdaten\Memo save stupid creative
2008-09-23 08:11 --------- d-----w C:\Programme\Gemeinsame Dateien\Wise Installation Wizard
2008-09-23 05:56 --------- d-----w C:\Programme\torrent_search
2008-09-23 05:56 --------- d-----w C:\Programme\Conduit
2008-09-17 06:05 --------- d-----w C:\Programme\ahead
2008-09-15 15:24 1,846,528 -c--a-w C:\WINDOWS.0\system32\win32k.sys
2008-09-08 10:41 333,824 -c--a-w C:\WINDOWS.0\system32\drivers\srv.sys
2008-08-31 16:45 --------- d-----w C:\Programme\Windows Live Safety Center
2008-08-28 05:10 --------- d-----w C:\Programme\Microsoft CAPICOM 2.1.0.2
2008-08-28 05:04 --------- d-----w C:\Programme\MSXML 4.0
2008-08-27 22:16 --------- dc----w C:\Dokumente und Einstellungen\RaCo\Anwendungsdaten\Azureus
2008-08-26 07:57 826,368 -c--a-w C:\WINDOWS.0\system32\wininet.dll
2008-08-22 11:44 994 -c--a-w C:\Dokumente und Einstellungen\RaCo\Anwendungsdaten\filterclsid.dat
2008-08-21 05:49 5,120 -c--a-w C:\WINDOWS.0\system32\drivers\khibqjcf.dat
2008-08-21 05:49 18,688 -c--a-w C:\WINDOWS.0\system32\drivers\eqtzxwab.dat
2008-08-14 13:19 2,191,488 -c--a-w C:\WINDOWS.0\system32\ntoskrnl.exe
2008-08-14 13:19 2,068,352 -c--a-w C:\WINDOWS.0\system32\ntkrnlpa.exe
2008-08-12 12:59 64,859 -c--a-w C:\WINDOWS.0\system32\bcupuelblyzxsbaa.exe
2008-07-25 08:36 524,288 -c--a-w C:\WINDOWS.0\system32\DivXsm.exe
2008-07-23 16:50 3,596,288 -c--a-w C:\WINDOWS.0\system32\qt-dx331.dll
2008-07-23 16:48 200,704 -c--a-w C:\WINDOWS.0\system32\ssldivx.dll
2008-07-23 16:48 1,044,480 -c--a-w C:\WINDOWS.0\system32\libdivx.dll
2008-07-23 16:46 12,288 -c--a-w C:\WINDOWS.0\system32\DivXWMPExtType.dll
2008-07-21 18:58 857,664 -c--a-w C:\ccsetup209_slim.exe
2008-06-23 10:38 16,384 -csha-w C:\WINDOWS.0\system32\config\systemprofile\Cookies\index.dat
2008-06-23 10:38 32,768 -csha-w C:\WINDOWS.0\system32\config\systemprofile\Lokale Einstellungen\Temporary Internet Files\Content.IE5\index.dat
2008-06-23 10:38 32,768 -csha-w C:\WINDOWS.0\system32\config\systemprofile\Lokale Einstellungen\Verlauf\History.IE5\index.dat
2008-06-23 10:38 32,768 -csha-w C:\WINDOWS.0\system32\config\systemprofile\Lokale Einstellungen\Verlauf\History.IE5\MSHist012008062320080624\index.dat
.

(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ctfmon.exe"="C:\WINDOWS.0\system32\ctfmon.exe" [2008-04-14 15360]
"ante barb"="C:\DOKUME~1\RaCo\ANWEND~1\PHONEL~1\UPLOAD ROAD IDOL.exe" [2008-10-17 532992]
"msnmsgr"="C:\Programme\Windows Live\Messenger\msnmsgr.exe" [2007-10-18 5724184]
"MSMSGS"="C:\Programme\Messenger\msmsgs.exe" [2008-04-14 1695232]
"SpybotSD TeaTimer"="C:\Programme\Spybot - Search & Destroy\TeaTimer.exe" [2008-07-07 2156368]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_06\bin\jusched.exe" [2008-03-25 144784]
"Adobe Reader Speed Launcher"="C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 39792]
"stupid creative poll axis"="C:\Dokumente und Einstellungen\All Users.WINDOWS.0\Anwendungsdaten\Memo save stupid creative\Pop bone.exe" [2008-10-20 2103808]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS.0\system32\CTFMON.EXE" [2008-04-14 15360]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce]
"nltide_2"="shell32" [X]
"nltide_3"="advpack.dll" [2008-08-26 C:\WINDOWS.0\system32\advpack.dll]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"msacm.divxa32"= DivXa32.acm

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]
"CTFMON.EXE"=C:\WINDOWS.0\system32\ctfmon.exe
"LogitechSoftwareUpdate"=C:\Programme\Logitech\Video\ManifestEngine.exe boot
"MsnMsgr"="C:\Programme\Windows Live\Messenger\msnmsgr.exe" /background
"MSMSGS"="C:\Programme\Messenger\msmsgs.exe" /background
"SpybotSD TeaTimer"=C:\Programme\Spybot - Search & Destroy\TeaTimer.exe

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"SoundMan"=SOUNDMAN.EXE
"Google Desktop Search"="C:\Programme\Google\Google Desktop Search\GoogleDesktop.exe" /startup
"LogitechVideoRepair"=C:\Programme\Logitech\Video\ISStart.exe
"LogitechVideoTray"=C:\Programme\Logitech\Video\LogiTray.exe
"LVCOMSX"=C:\WINDOWS.0\system32\LVCOMSX.EXE

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusDisableNotify"=dword:00000001
"UpdatesDisableNotify"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"C:\\Programme\\Windows Live\\Messenger\\livecall.exe"=
"C:\\WINDOWS.0\\system32\\sessmgr.exe"=
"C:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"=
"C:\\Programme\\AVS4YOU\\Registration.exe"=
"C:\\Programme\\Alice Software\\AliceEinwahl.exe"=
"C:\\Dokumente und Einstellungen\\RaCo\\Eigene Dateien\\Meine empfangenen Dateien\\eMule0.48a-SharkX-BIN\\emule.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"3389:TCP"= 3389:TCP:*isabled:@xpsp2res.dll,-22009

R0 bjuhkywj;bjuhkywj;C:\WINDOWS.0\system32\drivers\eqtzxwab.dat [ ]
R2 UxTuneUp;TuneUp Designerweiterung;C:\WINDOWS.0\System32\svchost.exe [2008-04-14 14336]
S3 GoogleDesktopManager-022208-143751;Google Desktop Manager 5.7.802.22438;C:\Programme\Google\Google Desktop Search\GoogleDesktop.exe [2008-07-20 29744]
S3 ss_bus;SAMSUNG Mobile USB Device 1.0 driver (WDM);C:\WINDOWS.0\system32\DRIVERS\ss_bus.sys [2007-05-02 83592]
S3 ss_mdfl;SAMSUNG Mobile USB Modem 1.0 Filter;C:\WINDOWS.0\system32\DRIVERS\ss_mdfl.sys [2007-05-02 15112]
S3 ss_mdm;SAMSUNG Mobile USB Modem 1.0 Drivers;C:\WINDOWS.0\system32\DRIVERS\ss_mdm.sys [2007-05-02 109704]
S3 TuneUp.Defrag;TuneUp Drive Defrag-Dienst;C:\WINDOWS.0\System32\TuneUpDefragService.exe [2008-09-23 306432]

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
UxTuneUp
.
Inhalt des "geplante Tasks" Ordners

2008-10-17 C:\WINDOWS.0\Tasks\1-Klick-Wartung.job
- C:\Programme\TuneUp Utilities 2008\OneClick.exe [2008-01-08 12:19]

2008-10-20 C:\WINDOWS.0\Tasks\AFD0A7F990775B1D.job
- c:\dokume~1\raco\anwend~1\phonel~1\signaxiserror.exe [2008-10-17 14:39]
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -

URLSearchHooks-{9CB65206-89C4-402c-BA80-02D8C59F9B1D} - (no file)
BHO-{832F6083-1252-48D5-BFF7-DA4FE06CBF8D} - C:\WINDOWS.0\system32\certcl.dll
BHO-{D5792AA9-D373-4039-8670-2CDAB6A71F15} - (no file)
HKLM-Run-lphcvewj0en3l - C:\WINDOWS.0\system32\lphcvewj0en3l.exe


.
------- Zusätzlicher Suchlauf -------
.
FireFox -: Profile - C:\Dokumente und Einstellungen\RaCo\Anwendungsdaten\Mozilla\Firefox\Profiles\racimslp.default\
FireFox -: prefs.js - STARTUP.HOMEPAGE - www.bild.de
FF -: plugin - C:\Dokumente und Einstellungen\All Users.WINDOWS.0\Anwendungsdaten\Zylom\ZylomGamesPlayer\npzylomgamesplayer.dll
FF -: plugin - C:\Programme\Google\Google Updater\2.2.1273.1045\npCIDetect12.dll
FF -: plugin - C:\Programme\Mozilla Firefox\plugins\NPAskSBr.dll
FF -: plugin - C:\Programme\Mozilla Firefox\plugins\npGoogleGadgetPluginFirefoxWin.dll
FF -: plugin - C:\Programme\Mozilla Firefox\plugins\npmozax.dll
FF -: plugin - C:\Programme\Mozilla Firefox\plugins\npzylomgamesplayer.dll
.

**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-10-20 15:15:26
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\bjuhkywj]
"ImagePath"="system32\drivers\eqtzxwab.dat"
.
------------------------ Weitere laufende Prozesse ------------------------
.
C:\WINDOWS.0\system32\ati2evxx.exe
C:\WINDOWS.0\system32\ati2evxx.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\WINDOWS.0\system32\wscntfy.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2008-10-20 15:23:46 - PC wurde neu gestartet
ComboFix-quarantined-files.txt 2008-10-20 13:23:37

Vor Suchlauf: 27 Verzeichnis(se), 65.386.430.464 Bytes frei
Nach Suchlauf: 27 Verzeichnis(se), 64,862,760,960 Bytes frei

WindowsXP-KB310994-SP2-Pro-BootDisk-DEU.exe
[boot loader]
timeout=2
default=signature(16531652)disk(0)rdisk(0)partition(1)\WINDOWS.1
[operating systems]
C:\CMDCONS\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
signature(16531652)disk(0)rdisk(0)partition(1)\WINDOWS.1="Microsoft Windows XP Professional" /noexecute=optin /fastdetect
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS.0="Microsoft Windows XP Professional" /noexecute=optin /fastdetect
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /fastdetect

197 --- E O F --- 2008-10-19 20:39:46
__________________

Alt 20.10.2008, 22:03   #4
myrtille
/// TB-Ausbilder
 
Spywaredetected on Your Computer.. - Standard

Spywaredetected on Your Computer..



Hi,
Scripten mit Combofix

  • Öffne den Editor ( Start -> Zubehör -> Editor ) kopiere nun folgenden Text in das weiße Feld:

Code:
ATTFilter
driver::
bjuhkywj

file::
C:\WINDOWS.0\system32\uharc.exe
C:\WINDOWS.0\system32\paypal.url
C:\WINDOWS.0\system32\winx.url
C:\WINDOWS.0\system32\drivers\khibqjcf.dat
C:\WINDOWS.0\system32\drivers\eqtzxwab.dat
C:\WINDOWS.0\system32\bcupuelblyzxsbaa.exe
C:\WINDOWS.0\Tasks\AFD0A7F990775B1D.job

folder::
C:\Dokumente und Einstellungen\RaCo\Anwendungsdaten\Phone Love Site
C:\Dokumente und Einstellungen\All Users.WINDOWS.0\Anwendungsdaten\Memo save stupid creative
         
Speichere diese Datei nun auf dem Desktop unter -> cfscript.txt
  • Nun die Datei cfscript.txt mit der rechten Maustaste auf das Sysmbol von Combofix ziehen!

  • Danach das Combofix nochmal ausführen, das System neu starten und das Log von Combofix posten


Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann



lg myrtille
__________________
Anfragen per Email, Profil- oder privater Nachricht werden ignoriert!
Hilfe gibts NUR im Forum!


Wer nach 24 Stunden keine weitere Antwort von mir bekommen hat, schickt bitte eine PM

Spelling mistakes? Never, but keybaord malfunctions constantly!

Antwort

Themen zu Spywaredetected on Your Computer..
adobe, ask toolbar, bho, dateien, desktop, einstellungen, explorer, firefox, google, hijack, hijackthis, hkus\s-1-5-18, hotkey, internet, internet explorer, keine ahnung, messenger, micro, microsoft, mozilla, pdf, problem, programme, software, sp3, system, tuneup.defrag, urlsearchhook, windows, windows xp, windows xp sp3, xp sp3




Ähnliche Themen: Spywaredetected on Your Computer..


  1. Computer processor running very hot, and computer is running slow.
    Plagegeister aller Art und deren Bekämpfung - 13.09.2014 (8)
  2. Problem mit Computer
    Plagegeister aller Art und deren Bekämpfung - 18.08.2014 (5)
  3. Computer Aufrüsten
    Netzwerk und Hardware - 30.06.2014 (6)
  4. Bundestrojaner Variante: "Ihr Computer wurde gesperrt"; " Ihr Computer wurde durch das Speichern der autom. Informationskontrolle gesperrt"
    Log-Analyse und Auswertung - 25.11.2012 (10)
  5. Computer gehackt?
    Plagegeister aller Art und deren Bekämpfung - 03.09.2012 (3)
  6. bei betätigen von Computer ausschalten, startet der PC wieder wie bei Computer neu starten (WinXP)
    Plagegeister aller Art und deren Bekämpfung - 29.08.2012 (1)
  7. Computer gesperrt mit der Nachricht: Der Computer ist für die Verletzung der BRD wurde bockiert!
    Plagegeister aller Art und deren Bekämpfung - 19.08.2012 (6)
  8. Der Computer ist für die Verletzung der Gesetze der Bundesrepublik Deutschland... - Standard Der Computer ist für die Verletzung der Gesetz
    Log-Analyse und Auswertung - 15.08.2012 (5)
  9. BKA-Variante "Der computer ist für die Verletzung..." hat meinen Computer befallen!
    Log-Analyse und Auswertung - 15.08.2012 (15)
  10. Computer gesperrt mit der Nachricht: Der Computer ist für die Verletzung der BRD wurde bockiert!
    Antiviren-, Firewall- und andere Schutzprogramme - 29.07.2012 (1)
  11. Befallener Computer
    Plagegeister aller Art und deren Bekämpfung - 15.03.2010 (1)
  12. Your Computer is Infected...!!!
    Log-Analyse und Auswertung - 13.11.2008 (3)
  13. Computer lahmt!
    Log-Analyse und Auswertung - 08.11.2008 (0)
  14. Your computer is infested
    Log-Analyse und Auswertung - 18.10.2008 (2)
  15. SpywareDetected-Hijack Ergebniss-weiteres Vorgehen?
    Plagegeister aller Art und deren Bekämpfung - 25.07.2008 (4)
  16. Computer streikt
    Alles rund um Windows - 07.06.2007 (13)
  17. your computer is intefected
    Plagegeister aller Art und deren Bekämpfung - 31.03.2006 (3)

Zum Thema Spywaredetected on Your Computer.. - Hi, also erstmal vor weg, ich verzweifel total.. Habe das gleiche problem wie viele andere auch und habe mir auch alles ganz brav und sorgfältig durchgelesen, aber mal so fast - Spywaredetected on Your Computer.....
Archiv
Du betrachtest: Spywaredetected on Your Computer.. auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.