|
Plagegeister aller Art und deren Bekämpfung: Problem "Windwos has detetcted Spyware infection"Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
30.10.2008, 12:45 | #1 |
| Problem "Windwos has detetcted Spyware infection" Hallo Boardies, ich hoffe ihr könnt mir bzw. respektive meinem Kumpel helfen. Bei ihm taucht seit letzer Woche unten recht in der Taskleiste ein rotes Popup auf, dass folgene Message enthält: Your Computer is infected! Windwos has detected Spyware infection! Betriebssystem ist WIN XP Home. Ich habe schon etwas recherchiert und poste hier nun die aktuelle Log-Datei von Hijackthis: Ich hoffe Ihr könnt uns helfen. Vielen Dank im Vorraus. Gruß HenDerrick Hijackthis Logfile: Logfile of HijackThis v1.99.1 Scan saved at 12:35:22, on 30.10.2008 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.16735) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Intel\Wireless\Bin\EvtEng.exe C:\Programme\Intel\Wireless\Bin\S24EvMon.exe C:\Programme\Intel\Wireless\Bin\ZcfgSvc.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\Explorer.EXE C:\Programme\Lavasoft\Ad-Aware\aawservice.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe C:\Programme\Gemeinsame Dateien\AccSys\accsvc.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe C:\Programme\Bonjour\mDNSResponder.exe C:\Programme\Intel\Wireless\Bin\OProtSvc.exe C:\Programme\Intel\Wireless\Bin\RegSrvc.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\ATK0100\HControl.exe C:\WINDOWS\RTHDCPL.EXE C:\Programme\ASUS\ASUS Live Update\ALU.exe C:\Programme\ASUS\Power4 Gear\BatteryLife.exe C:\Programme\ASUS\Wireless Console\wcourier.exe C:\Programme\Synaptics\SynTP\SynTPLpr.exe C:\Programme\Synaptics\SynTP\SynTPEnh.exe C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe C:\Programme\Intel\Wireless\Bin\ifrmewrk.exe C:\Programme\Intel\Wireless\Bin\EOUWiz.exe C:\Programme\HP\HP Software Update\HPWuSchd2.exe C:\WINDOWS\ATK0100\ATKOSD.exe C:\Programme\Real\RealPlayer\RealPlay.exe C:\Programme\Gemeinsame Dateien\AOL\1177748623\ee\AOLSoftware.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe C:\Programme\iTunes\iTunesHelper.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\Messenger\msmsgs.exe C:\Programme\Spybot - Search & Destroy\TeaTimer.exe C:\WINDOWS\system32\brastk.exe C:\Programme\Asus\Asus ChkMail\ChkMail.exe C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe C:\Programme\iPod\bin\iPodService.exe C:\Programme\HP\Digital Imaging\bin\hpqgalry.exe C:\WINDOWS\system32\wuauclt.exe C:\Dokumente und Einstellungen\**dy\Desktop\HijackThis.exe R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Arcor AG & Co. KG R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local O4 - HKLM\..\Run: [HControl] C:\WINDOWS\ATK0100\HControl.exe O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE O4 - HKLM\..\Run: [ASUS Live Update] C:\Programme\ASUS\ASUS Live Update\ALU.exe O4 - HKLM\..\Run: [Power_Gear] C:\Programme\ASUS\Power4 Gear\BatteryLife.exe 1 O4 - HKLM\..\Run: [Wireless Console] C:\Programme\ASUS\Wireless Console\wcourier.exe O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKLM\..\Run: [IntelWireless] C:\Programme\Intel\Wireless\Bin\ifrmewrk.exe /tf Intel PROSet/Wireless O4 - HKLM\..\Run: [EOUApp] C:\Programme\Intel\Wireless\Bin\EOUWiz.exe O4 - HKLM\..\Run: [AOLDialer] C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe O4 - HKLM\..\Run: [HP Software Update] "C:\Programme\HP\HP Software Update\HPWuSchd2.exe" O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [RealTray] C:\Programme\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER O4 - HKLM\..\Run: [HostManager] C:\Programme\Gemeinsame Dateien\AOL\1177748623\ee\AOLSoftware.exe O4 - HKLM\..\Run: [wlconfig] "C:\Programme\WLAN Monitor\wlconfig.exe" -autostart O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe" O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe O4 - HKCU\..\Run: [brastk] C:\WINDOWS\system32\brastk.exe O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe O4 - Global Startup: ASUS ChkMail.lnk = C:\Programme\Asus\Asus ChkMail\ChkMail.exe O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe O4 - Global Startup: HP Image Zone Schnellstart.lnk = C:\Programme\HP\Digital Imaging\bin\hpqthb08.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE O8 - Extra context menu item: Add selected links to Link Container - C:\PROGRA~1\GDATAA~1\WEBFIL~1\System\Scripts\off_collector_sel.htm O8 - Extra context menu item: Show domain links - C:\PROGRA~1\GDATAA~1\WEBFIL~1\System\Scripts\off_domain_links.htm O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Programme\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\system32\Shdocvw.dll O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing) O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing) O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O10 - Unknown file in Winsock LSP: c:\programme\bonjour\mdnsnsp.dll O11 - Options group: [INTERNATIONAL] International* O14 - IERESET.INF: START_PAGE_URL=http://w*w.asus.com O16 - DPF: {05D44720-58E3-49E6-BDF6-D00330E511D3} (StagingUI Object) - http://zone.msn.co*m/binFrameWork/v10/StagingUI.cab40641.cab O16 - DPF: {3BB54395-5982-4788-8AF4-B5388FFDD0D8} (ZoneBuddy Class) - http://zone.msn.co*m/BinFrameWork/v10/ZBuddy.cab32846.cab O16 - DPF: {5736C456-EA94-4AAC-BB08-917ABDD035B3} (ZonePAChat Object) - http*://zone.msn.com/binframework/v10/ZPAChat.cab32846.cab O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - htt*p://messenger.msn.com/download/MsnMessengerSetupDownloader.cab O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://cd*n2.zone.msn.com/binFramework/v10/ZIntro.cab34246.cab O16 - DPF: {DA2AA6CF-5C7A-4B71-BC3B-C771BB369937} (StadiumProxy Class) - http://zo*ne.msn.com/binframework/v10/StProxy.cab41227.cab O16 - DPF: {FF3C5A9F-5A99-4930-80E8-4709194C2AD3} (ZPA_Backgammon Object) - http://zo*ne.msn.com/bingame/zpagames/ZPA_Backgammon.cab40641.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{A2C764CD-AB04-419C-8F45-55E8D1C85CF3}: NameServer = 192.168.120.252,192.168.120.253 O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL O20 - Winlogon Notify: IntelWireless - C:\Programme\Intel\Wireless\Bin\LgNotify.dll O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Programme\Lavasoft\Ad-Aware\aawservice.exe O23 - Service: AccSys WiFi Component (accsvc) - AccSys GmbH - C:\Programme\Gemeinsame Dateien\AccSys\accsvc.exe O23 - Service: Avira AntiVir Personal – Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe O23 - Service: Avira AntiVir Personal – Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: AOL Connectivity Service (AOL ACS) - AOL LLC - C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe O23 - Service: Apple Mobile Device - Apple Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: Bonjour-Dienst (Bonjour Service) - Apple Inc. - C:\Programme\Bonjour\mDNSResponder.exe O23 - Service: AVM FRITZ!web Routing Service (de_serv) - Unknown owner - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe (file missing) O23 - Service: EvtEng - Intel Corporation - C:\Programme\Intel\Wireless\Bin\EvtEng.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe O23 - Service: OwnershipProtocol - Intel Corporation - C:\Programme\Intel\Wireless\Bin\OProtSvc.exe O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe O23 - Service: RegSrvc - Intel Corporation - C:\Programme\Intel\Wireless\Bin\RegSrvc.exe O23 - Service: Spectrum24 Event Monitor (S24EventMonitor) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\S24EvMon.exe O23 - Service: TuneUp Drive Defrag-Dienst (TuneUp.Defrag) - TuneUp Software GmbH - C:\WINDOWS\System32\TuneUpDefragService.exe |
30.10.2008, 12:58 | #2 |
Problem "Windwos has detetcted Spyware infection" Hallo,
__________________arbeite bitte folgende Anleitung der Reihe nach ab: 1.) Anleitung SmitfraudFix: Lade dir dieses Tool -> SmitfraudFix
2.) MalwareBytes Anti-Malware :
3.) ComboFix
Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat!Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten. (ausführliche Anleitung -> Ein Leitfaden und Tutorium zur Nutzung von ComboFix)
__________________ |
30.10.2008, 13:02 | #3 |
| Problem "Windwos has detetcted Spyware infection" Mist... SilentSharK war wohl schneller als ich- Beitrag kann gelöscht werden
__________________ |
30.10.2008, 13:16 | #4 |
| Problem "Windwos has detetcted Spyware infection" Hallo Ihr beiden. DAS ging ja mal fix Ich werde dann mal alle Schritte abarbeiten und mich dann wieder hier melden. Vielen Dank schon einmal Gruß HenDerrick |
30.10.2008, 16:20 | #5 |
| Problem "Windwos has detetcted Spyware infection" Hallo zusammen Habe nun Schritte 1 - 3 durchgeführt. hier sind die Logs: SmitfraudFix: SmitFraudFix v2.368 Scan done at 13:40:55,85, 30.10.2008 Run from H:\SmitfraudFix OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT The filesystem type is FAT32 Fix run in safe mode »»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Before SmitFraudFix !!!Attention, following keys are not inevitably infected!!! SrchSTS.exe by S!Ri Search SharedTaskScheduler's .dll »»»»»»»»»»»»»»»»»»»»»»»» Killing process »»»»»»»»»»»»»»»»»»»»»»»» hosts Die hab ich mal alle rausgenommen, das ware soooooo viele. hoffentlich sind die nicht wichtig »»»»»»»»»»»»»»»»»»»»»»»» VACFix VACFix Credits: Malware Analysis & Diagnostic Code: S!Ri »»»»»»»»»»»»»»»»»»»»»»»» Winsock2 Fix S!Ri's WS2Fix: LSP not Found. »»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix GenericRenosFix by S!Ri »»»»»»»»»»»»»»»»»»»»»»»» Deleting infected files C:\WINDOWS\system32\brastk.exe Deleted »»»»»»»»»»»»»»»»»»»»»»»» IEDFix IEDFix Credits: Malware Analysis & Diagnostic Code: S!Ri »»»»»»»»»»»»»»»»»»»»»»»» 404Fix 404Fix Credits: Malware Analysis & Diagnostic Code: S!Ri »»»»»»»»»»»»»»»»»»»»»»»» AntiXPVSTFix AntiXPVSTFix Credits: Malware Analysis & Diagnostic Code: S!Ri »»»»»»»»»»»»»»»»»»»»»»»» RK »»»»»»»»»»»»»»»»»»»»»»»» DNS HKLM\SYSTEM\CCS\Services\Tcpip\..\{A2779551-3387-4DF2-99F4-4DDB6646052A}: DhcpNameServer=192.168.1.1 HKLM\SYSTEM\CCS\Services\Tcpip\..\{A2C764CD-AB04-419C-8F45-55E8D1C85CF3}: NameServer=192.168.120.252,192.168.120.253 HKLM\SYSTEM\CS1\Services\Tcpip\..\{A2779551-3387-4DF2-99F4-4DDB6646052A}: DhcpNameServer=192.168.1.1 HKLM\SYSTEM\CS1\Services\Tcpip\..\{A2C764CD-AB04-419C-8F45-55E8D1C85CF3}: NameServer=192.168.120.252,192.168.120.253 HKLM\SYSTEM\CS3\Services\Tcpip\..\{A2779551-3387-4DF2-99F4-4DDB6646052A}: DhcpNameServer=192.168.1.1 HKLM\SYSTEM\CS3\Services\Tcpip\..\{A2C764CD-AB04-419C-8F45-55E8D1C85CF3}: NameServer=192.168.120.252,192.168.120.253 HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1 HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1 HKLM\SYSTEM\CS3\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1 »»»»»»»»»»»»»»»»»»»»»»»» Deleting Temp Files »»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System !!!Attention, following keys are not inevitably infected!!! [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] "System"="" »»»»»»»»»»»»»»»»»»»»»»»» Registry Cleaning Registry Cleaning done. »»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler After SmitFraudFix !!!Attention, following keys are not inevitably infected!!! SrchSTS.exe by S!Ri Search SharedTaskScheduler's .dll »»»»»»»»»»»»»»»»»»»»»»»» End MalwareBytes Anti-Malware : Malwarebytes' Anti-Malware 1.30 Datenbank Version: 1306 Windows 5.1.2600 Service Pack 2 30.10.2008 15:56:40 mbam-log-2008-10-30 (15-56-40).txt Scan-Methode: Vollständiger Scan (C:\|D:\|H:\|) Durchsuchte Objekte: 96509 Laufzeit: 1 hour(s), 48 minute(s), 16 second(s) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 0 Infizierte Registrierungsschlüssel: 0 Infizierte Registrierungswerte: 1 Infizierte Dateiobjekte der Registrierung: 0 Infizierte Verzeichnisse: 0 Infizierte Dateien: 0 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: (Keine bösartigen Objekte gefunden) Infizierte Registrierungswerte: HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\brastk (Trojan.FakeAlert) -> Quarantined and deleted successfully. Infizierte Dateiobjekte der Registrierung: (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: (Keine bösartigen Objekte gefunden) Infizierte Dateien: (Keine bösartigen Objekte gefunden) ComboFix: ComboFix 08-10-30.04 - Andy 2008-10-30 16:07:25.1 - FAT32x86 Microsoft Windows XP Home Edition 5.1.2600.2.1252.1.1031.18.632 [GMT 1:00] ausgeführt von:: H:\ComboFix.exe * Neuer Wiederherstellungspunkt wurde erstellt Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !! . (((((((((((((((((((((((((((((((((((( Weitere Löschungen )))))))))))))))))))))))))))))))))))))))))))))))) . C:\WINDOWS\system32\drivers\npf.sys C:\WINDOWS\system32\Packet.dll C:\WINDOWS\system32\WanPacket.dll C:\WINDOWS\system32\wini101935.exe C:\WINDOWS\system32\wpcap.dll . ((((((((((((((((((((((((((((((((((((((( Treiber/Dienste ))))))))))))))))))))))))))))))))))))))))))))))))) . -------\Legacy_NPF -------\Service_NPF ((((((((((((((((((((((( Dateien erstellt von 2008-09-28 bis 2008-10-30 )))))))))))))))))))))))))))))) . 2008-10-30 13:54 . 2008-10-30 13:54 <DIR> d-------- C:\Programme\Malwarebytes' Anti-Malware 2008-10-30 13:54 . 2008-10-30 13:54 <DIR> d-------- C:\Dokumente und Einstellungen\Andy\Anwendungsdaten\Malwarebytes 2008-10-30 13:54 . 2008-10-30 13:54 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes 2008-10-30 13:54 . 2008-10-22 16:10 38,496 --a------ C:\WINDOWS\system32\drivers\mbamswissarmy.sys 2008-10-30 13:54 . 2008-10-22 16:10 15,504 --a------ C:\WINDOWS\system32\drivers\mbam.sys 2008-10-30 13:40 . 2007-09-05 23:22 289,144 --a------ C:\WINDOWS\system32\VCCLSID.exe 2008-10-30 13:40 . 2006-04-27 16:49 288,417 --a------ C:\WINDOWS\system32\SrchSTS.exe 2008-10-30 13:40 . 2008-09-08 22:38 88,576 --a------ C:\WINDOWS\system32\AntiXPVSTFix.exe 2008-10-30 13:40 . 2008-10-01 14:51 87,552 --a------ C:\WINDOWS\system32\VACFix.exe 2008-10-30 13:40 . 2008-10-10 07:58 82,944 --a------ C:\WINDOWS\system32\o4Patch.exe 2008-10-30 13:40 . 2008-05-18 20:40 82,944 --a------ C:\WINDOWS\system32\IEDFix.exe 2008-10-30 13:40 . 2008-10-10 07:58 82,944 --a------ C:\WINDOWS\system32\IEDFix.C.exe 2008-10-30 13:40 . 2008-08-18 11:19 82,432 --a------ C:\WINDOWS\system32\404Fix.exe 2008-10-30 13:40 . 2003-06-05 20:13 53,248 --a------ C:\WINDOWS\system32\Process.exe 2008-10-30 13:40 . 2004-07-31 17:50 51,200 --a------ C:\WINDOWS\system32\dumphive.exe 2008-10-30 13:40 . 2007-10-03 23:36 25,600 --a------ C:\WINDOWS\system32\WS2Fix.exe 2008-10-30 13:37 . 2008-10-30 13:37 <DIR> d--hs---- C:\FOUND.002 2008-10-30 13:23 . 2008-10-30 13:41 3,768 --a------ C:\WINDOWS\system32\tmp.reg 2008-10-30 13:17 . 2005-10-13 01:20 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator\WINDOWS 2008-10-30 13:17 . 2005-10-13 01:04 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Vorlagen 2008-10-30 13:17 . 2005-10-13 01:04 <DIR> dr------- C:\Dokumente und Einstellungen\Administrator\Startmenü 2008-10-30 13:17 . 2005-10-13 01:04 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Netzwerkumgebung 2008-10-30 13:17 . 2005-10-13 01:04 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen 2008-10-30 13:17 . 2005-10-13 01:31 <DIR> dr------- C:\Dokumente und Einstellungen\Administrator\Favoriten 2008-10-30 13:17 . 2005-10-13 01:31 <DIR> dr------- C:\Dokumente und Einstellungen\Administrator\Eigene Dateien 2008-10-30 13:17 . 2005-10-13 01:04 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Druckumgebung 2008-10-30 13:17 . 2005-10-13 01:28 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Symantec 2008-10-30 13:17 . 2005-10-13 01:36 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Intel 2008-10-30 13:17 . 2005-10-13 01:04 <DIR> dr-h----- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten 2008-10-30 13:17 . 2008-10-30 13:17 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator 2008-10-28 19:16 . 2008-10-28 19:16 <DIR> d-------- C:\Programme\CCleaner 2008-10-28 19:06 . 2008-10-28 19:06 <DIR> d-------- C:\Programme\CleanUp! 2008-10-03 20:03 . 2008-10-03 20:03 <DIR> d-------- C:\Programme\iTunes 2008-10-03 20:03 . 2008-10-03 20:03 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\{3276BE95_AF08_429F_A64F_CA64CB79BCF6} 2008-10-03 20:02 . 2008-10-03 20:02 <DIR> d-------- C:\Programme\Bonjour 2008-10-03 20:01 . 2008-10-03 20:01 <DIR> d-------- C:\Programme\QuickTime 2008-10-03 20:00 . 2008-10-03 20:00 <DIR> d-------- C:\Programme\Apple Software Update 2008-09-22 23:23 . 2008-09-22 23:23 <DIR> d-------- C:\WINDOWS\system32\CatRoot_bak 2008-09-06 16:38 . 2008-09-06 16:38 <DIR> d--hs---- C:\FOUND.001 2008-09-06 15:09 . 2008-09-06 15:09 90,112 --a------ C:\WINDOWS\system32\QuickTimeVR.qtx 2008-09-06 15:09 . 2008-09-06 15:09 57,344 --a------ C:\WINDOWS\system32\QuickTime.qts . (((((((((((((((((((((((((((((((((((( Find3M Bericht )))))))))))))))))))))))))))))))))))))))))))))))))))))) . 2008-10-03 17:58 6,066,176 ------w C:\WINDOWS\system32\dllcache\ieframe.dll 2008-09-15 16:37 1,846,144 ----a-w C:\WINDOWS\system32\win32k.sys 2008-09-15 16:37 1,846,144 ----a-w C:\WINDOWS\system32\dllcache\win32k.sys 2008-08-29 09:18 87,336 ----a-w C:\WINDOWS\system32\dns-sd.exe 2008-08-29 08:53 61,440 ----a-w C:\WINDOWS\system32\dnssd.dll 2008-08-28 11:04 333,056 ----a-w C:\WINDOWS\system32\drivers\srv.sys 2008-08-28 11:04 333,056 ----a-w C:\WINDOWS\system32\dllcache\srv.sys 2008-08-27 09:57 3,593,216 ------w C:\WINDOWS\system32\dllcache\mshtml.dll 2008-08-25 09:38 13,824 ------w C:\WINDOWS\system32\dllcache\ieudinit.exe 2008-08-25 09:37 70,656 ------w C:\WINDOWS\system32\dllcache\ie4uinit.exe 2008-08-23 06:56 635,848 ------w C:\WINDOWS\system32\dllcache\iexplore.exe 2008-08-23 06:54 161,792 ------w C:\WINDOWS\system32\dllcache\ieakui.dll 2008-08-14 14:42 2,182,656 ----a-w C:\WINDOWS\system32\ntoskrnl.exe 2008-08-14 14:42 2,182,656 ------w C:\WINDOWS\system32\dllcache\ntoskrnl.exe 2008-08-14 14:42 2,138,624 ------w C:\WINDOWS\system32\dllcache\ntkrnlmp.exe 2008-08-14 14:42 2,060,032 ----a-w C:\WINDOWS\system32\ntkrnlpa.exe 2008-08-14 14:42 2,060,032 ------w C:\WINDOWS\system32\dllcache\ntkrnlpa.exe 2008-08-14 14:42 2,018,304 ------w C:\WINDOWS\system32\dllcache\ntkrpamp.exe 2008-08-14 10:51 138,368 ----a-w C:\WINDOWS\system32\dllcache\afd.sys 2008-07-18 21:10 94,920 ----a-w C:\WINDOWS\system32\dllcache\cdm.dll 2008-07-18 21:10 94,920 ----a-w C:\WINDOWS\system32\cdm.dll 2008-07-18 21:10 53,448 ----a-w C:\WINDOWS\system32\wuauclt.exe 2008-07-18 21:10 53,448 ----a-w C:\WINDOWS\system32\dllcache\wuauclt.exe 2008-07-18 21:10 45,768 ----a-w C:\WINDOWS\system32\wups2.dll 2008-07-18 21:10 36,552 ----a-w C:\WINDOWS\system32\wups.dll 2008-07-18 21:10 36,552 ----a-w C:\WINDOWS\system32\dllcache\wups.dll 2008-07-18 21:09 563,912 ----a-w C:\WINDOWS\system32\wuapi.dll 2008-07-18 21:09 563,912 ----a-w C:\WINDOWS\system32\dllcache\wuapi.dll 2008-07-18 21:09 325,832 ----a-w C:\WINDOWS\system32\wucltui.dll 2008-07-18 21:09 325,832 ----a-w C:\WINDOWS\system32\dllcache\wucltui.dll 2008-07-18 21:09 205,000 ----a-w C:\WINDOWS\system32\wuweb.dll 2008-07-18 21:09 205,000 ----a-w C:\WINDOWS\system32\dllcache\wuweb.dll 2008-07-18 21:09 1,811,656 ----a-w C:\WINDOWS\system32\wuaueng.dll 2008-07-18 21:09 1,811,656 ----a-w C:\WINDOWS\system32\dllcache\wuaueng.dll 2008-07-08 17:40 355,584 ----a-w C:\WINDOWS\system32\TuneUpDefragService.exe 2008-07-07 21:30 253,952 ----a-w C:\WINDOWS\system32\es.dll 2008-07-07 21:30 253,952 ----a-w C:\WINDOWS\system32\dllcache\es.dll 2008-03-15 12:51 32 ----a-w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ezsid.dat . (((((((((((((((((((((((((((( Autostartpunkte der Registrierung )))))))))))))))))))))))))))))))))))))))) . . *Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. REGEDIT4 [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 15360] "MSMSGS"="C:\Programme\Messenger\msmsgs.exe" [2004-10-13 1694208] "SpybotSD TeaTimer"="C:\Programme\Spybot - Search & Destroy\TeaTimer.exe" [2008-07-07 2156368] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "HControl"="C:\WINDOWS\ATK0100\HControl.exe" [2005-05-12 102400] "ASUS Live Update"="C:\Programme\ASUS\ASUS Live Update\ALU.exe" [2003-09-19 172032] "Power_Gear"="C:\Programme\ASUS\Power4 Gear\BatteryLife.exe" [2004-09-21 81920] "Wireless Console"="C:\Programme\ASUS\Wireless Console\wcourier.exe" [2005-03-02 57344] "SynTPLpr"="C:\Programme\Synaptics\SynTP\SynTPLpr.exe" [2004-12-22 98394] "SynTPEnh"="C:\Programme\Synaptics\SynTP\SynTPEnh.exe" [2004-12-22 688218] "ATIPTA"="C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe" [2005-03-22 339968] "IntelWireless"="C:\Programme\Intel\Wireless\Bin\ifrmewrk.exe" [2004-10-15 385024] "EOUApp"="C:\Programme\Intel\Wireless\Bin\EOUWiz.exe" [2004-10-15 356352] "AOLDialer"="C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe" [2006-11-17 71216] "HP Software Update"="C:\Programme\HP\HP Software Update\HPWuSchd2.exe" [2004-09-13 49152] "NeroFilterCheck"="C:\WINDOWS\system32\NeroCheck.exe" [2001-07-09 155648] "RealTray"="C:\Programme\Real\RealPlayer\RealPlay.exe" [2005-12-26 26112] "HostManager"="C:\Programme\Gemeinsame Dateien\AOL\1177748623\ee\AOLSoftware.exe" [2006-11-17 50736] "wlconfig"="C:\Programme\WLAN Monitor\wlconfig.exe" [2006-03-06 1347584] "avgnt"="C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-07-20 266497] "QuickTime Task"="C:\Programme\QuickTime\qttask.exe" [2008-09-06 413696] "iTunesHelper"="C:\Programme\iTunes\iTunesHelper.exe" [2008-10-01 289576] "RTHDCPL"="RTHDCPL.EXE" [2005-05-25 C:\WINDOWS\RTHDCPL.EXE] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-04 15360] C:\Dokumente und Einstellungen\All Users\Startmen\Programme\Autostart\ Adobe Reader Speed Launch.lnk - C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe [2004-12-14 29696] ASUS ChkMail.lnk - C:\Programme\Asus\Asus ChkMail\ChkMail.exe [2005-10-13 32768] HP Digital Imaging Monitor.lnk - C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe [2004-11-04 258048] HP Image Zone Schnellstart.lnk - C:\Programme\HP\Digital Imaging\bin\hpqthb08.exe [2004-11-04 53248] Microsoft Office.lnk - C:\Programme\Microsoft Office\Office\OSA9.EXE [1999-04-29 65588] [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\IntelWireless] 2004-10-15 11:27 110592 C:\Programme\Intel\Wireless\Bin\LgNotify.dll [HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\KasperskyAntiHacker] "DisableMonitoring"=dword:00000001 [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile] "EnableFirewall"= 0 (0x0) [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "%windir%\\system32\\sessmgr.exe"= "C:\\Programme\\Gemeinsame Dateien\\AOL\\ACS\\AOLDial.exe"= "C:\\Programme\\Gemeinsame Dateien\\AOL\\ACS\\AOLAcsd.exe"= "%windir%\\Network Diagnostic\\xpnetdiag.exe"= "C:\\Programme\\Skype\\Phone\\Skype.exe"= "C:\\Programme\\Bonjour\\mDNSResponder.exe"= "C:\\Programme\\iTunes\\iTunes.exe"= R0 R592;R592;C:\WINDOWS\system32\DRIVERS\R592.sys [2004-10-15 57088] R0 risdpntk;risdpntk;C:\WINDOWS\system32\DRIVERS\risdpntk.sys [2004-10-15 27264] R2 accsvc;AccSys WiFi Component;C:\Programme\Gemeinsame Dateien\AccSys\accsvc.exe [2006-01-11 147456] R2 AVMPORT;AVMPORT;C:\WINDOWS\system32\drivers\avmport.sys [2001-10-23 59520] R2 UxTuneUp;TuneUp Designerweiterung;C:\WINDOWS\System32\svchost.exe [2004-08-04 14336] R3 AVMCOWAN;AVM ISDN CoNDIS WAN CAPI Treiber;C:\WINDOWS\system32\DRIVERS\avmcowan.sys [2004-12-14 53120] R3 Video3D;ASUS Video3D Service;C:\WINDOWS\system32\Drivers\Video3D.sys [2004-07-06 44544] S3 Asushwio;Asushwio;C:\WINDOWS\system32\drivers\Asushwio.sys [2000-03-29 5824] S3 FUS2BASE;FRITZ!Card USB;C:\WINDOWS\system32\DRIVERS\fus2base.sys [2004-12-14 578432] S3 gtermddo;gtermddo;C:\DOKUME~1\Andy\LOKALE~1\Temp\gtermddo.sys [ ] S3 NETFRITZ;AVM FRITZ!web PPP over ISDN;C:\WINDOWS\system32\DRIVERS\NETFRITZ.SYS [ ] S3 TuneUp.Defrag;TuneUp Drive Defrag-Dienst;C:\WINDOWS\System32\TuneUpDefragService.exe [2008-07-08 355584] HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs UxTuneUp *Newly Created Service* - ATWPKT2 . Inhalt des "geplante Tasks" Ordners 2008-10-30 C:\WINDOWS\Tasks\1-Klick-Wartung.job - C:\Programme\TuneUp Utilities 2008\OneClickStarter.exe [2008-06-11 11:54] 2008-10-03 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job - C:\Programme\Apple Software Update\SoftwareUpdate.exe [2008-07-30 12:34] . . ------- Zusätzlicher Suchlauf ------- . R0 -: HKCU-Main,Start Page = hxxp://www.google.com R0 -: HKLM-Main,Window Title = Arcor AG & Co. KG R1 -: HKCU-Internet Settings,ProxyOverride = *.local O8 -: Add selected links to Link Container - C:\PROGRA~1\GDATAA~1\WEBFIL~1\System\Scripts\off_collector_sel.htm O8 -: Show domain links - C:\PROGRA~1\GDATAA~1\WEBFIL~1\System\Scripts\off_domain_links.htm O17 -: HKLM\CCS\Interface\{A2C764CD-AB04-419C-8F45-55E8D1C85CF3}: NameServer = 192.168.120.252,192.168.120.253 . ************************************************************************** catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2008-10-30 16:11:04 Windows 5.1.2600 Service Pack 2 FAT NTAPI Scanne versteckte Prozesse... Scanne versteckte Autostarteinträge... Scanne versteckte Dateien... Scan erfolgreich abgeschlossen versteckte Dateien: 0 ************************************************************************** . ------------------------ Weitere laufende Prozesse ------------------------ . C:\WINDOWS\SYSTEM32\ATI2EVXX.EXE C:\PROGRAMME\INTEL\WIRELESS\BIN\EVTENG.EXE C:\PROGRAMME\INTEL\WIRELESS\BIN\S24EVMON.EXE C:\PROGRAMME\INTEL\WIRELESS\BIN\ZCFGSVC.EXE C:\WINDOWS\SYSTEM32\ATI2EVXX.EXE C:\PROGRAMME\LAVASOFT\AD-AWARE\AAWSERVICE.EXE C:\PROGRAMME\AVIRA\ANTIVIR PERSONALEDITION CLASSIC\SCHED.EXE C:\PROGRAMME\AVIRA\ANTIVIR PERSONALEDITION CLASSIC\AVGUARD.EXE C:\PROGRAMME\GEMEINSAME DATEIEN\AOL\ACS\AOLACSD.EXE C:\PROGRAMME\GEMEINSAME DATEIEN\APPLE\MOBILE DEVICE SUPPORT\BIN\APPLEMOBILEDEVICESERVICE.EXE C:\PROGRAMME\BONJOUR\MDNSRESPONDER.EXE C:\PROGRAMME\INTEL\WIRELESS\BIN\OPROTSVC.EXE C:\PROGRAMME\INTEL\WIRELESS\BIN\REGSRVC.EXE C:\WINDOWS\ATK0100\ATKOSD.EXE C:\Programme\HP\Digital Imaging\bin\hpqgalry.exe C:\WINDOWS\system32\wscntfy.exe C:\Programme\iPod\bin\iPodService.exe . ************************************************************************** . Zeit der Fertigstellung: 2008-10-30 16:14:00 - PC wurde neu gestartet ComboFix-quarantined-files.txt 2008-10-30 15:13:54 Vor Suchlauf: 21 Verzeichnis(se), 29.972.955.136 Bytes frei Nach Suchlauf: 21 Verzeichnis(se), 29,901,225,984 Bytes frei 223 --- E O F --- 2008-10-16 17:22:50 ========================================= Vielen, vielen Dank für eure kompetenten Tipps Muss ich jetzt noch was bestimmtes tun? Gruß HenDerrick |
30.10.2008, 16:25 | #6 |
Problem "Windwos has detetcted Spyware infection" So, sieht schonmal gut aus. Kopiere bitte folgende Datei auf deinen Desktop: C:\WINDOWS\system32\drivers\etc\hosts Öffne sie dann mit dem Editor und poste den Inhalt. HTML-Code: [CODE]Hier den Inhalt rein![/CODE]
__________________ --> Problem "Windwos has detetcted Spyware infection" |
30.10.2008, 21:10 | #7 |
| Problem "Windwos has detetcted Spyware infection" Hi shark, dort steht nur ein einziger Eintrag und zwar: Code:
ATTFilter 127.0.0.1 localhost Ich hoffe, das war´s:aplaus: |
30.10.2008, 21:12 | #8 |
Problem "Windwos has detetcted Spyware infection" Gut, jetzt deinstallierst du noch Combofix und dann bist du entlassen: Combofix Deinstallieren Klick auf Start -> Ausführen -> eintippen combofix /U Damit ist Combofix und alle weiteren Programme entfernt wurden.
__________________ mfg, Patrick Technische Kompromittierung => Tatort Internet Keine Windows-CD? Selbst brennen. |
Themen zu Problem "Windwos has detetcted Spyware infection" |
ad-aware, adobe, antivir, antivirus, avira, bonjour, computer, desktop, detected spyware infection!, einstellungen, explorer, hijack, hijackthis, internet, internet explorer, log-datei, logfile, monitor, object, popup, problem, software, spyware, taskleiste, toolbars, tuneup.defrag, unten recht, windows, windows xp, wlan |