Anti SpyWare Soft

.Bow · 09.05.2010, 19:33

Hallo,

ich habe eine Frage an euch.
Ich hab mir letztens das FakeProgramm "AntiSpyWare Soft" eingefangen, dass einem sagt man hätte viele schädliche Programme auf dem Rechner und die man nur entfernen kann wenn man es kauft.
Und keinen Zugriff mehr zu vielen Sachen lässt.

Habe dann einiges hier gefunden womit ich das Programm "stoppen" kann, bin so weit gekommen das, dass Programm Anfangs nicht mehr startet und auch nicht mehr wirklich arg stört, doch ich glaub das Programm ist immer noch nicht ganz entfernt vom Rechner.

Wenn ich den Rechner startet kommen diese Meldungen :

hxxp://img291.imageshack.us/img291/7843/virus112.jpg

Schon mehrmals CCleaner & Malwarebytes drüber laufen gelassen, diese finden auch keine Infizierten Daten mehr.
Per msconfig die Häckchen entfernt und per regedit die Registerschlüssel gelöscht.

Meine Frage, wie bekomm ich das endlich komplett weg. ?

Betriebssystem : Vista Home Premium 64Bit.

Danke im vorraus. : D

HiJack : [ Sorry, bekomm das mit dem Anhang nicht hin. ] oô

Logfile of Trend Micro HijackThis v2.0.3 (BETA)
Scan saved at 20:21:28, on 09.05.2010
Platform: Windows Vista SP2 (WinNT 6.00.1906)
MSIE: Internet Explorer v7.00 (7.00.6002.18005)
Boot mode: Normal

Running processes:
C:\Program Files (x86)\Windows Live\Messenger\msnmsgr.exe
C:\Program Files (x86)\Pando Networks\Media Booster\PMB.exe
C:\Program Files (x86)\Free Download Manager\fdm.exe
C:\Program Files (x86)\DAEMON Tools Lite\DTLite.exe
D:\Steam\steam.exe
C:\Program Files (x86)\Microsoft SQL Server\80\Tools\Binn\sqlmangr.exe
C:\Program Files (x86)\Java\jre6\bin\jusched.exe
C:\Program Files (x86)\Mozilla Firefox\firefox.exe
C:\Program Files (x86)\TrendMicro\HiJackThis\HiJackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.daemon-search.com/startpage/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
R3 - URLSearchHook: ICQToolBar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Program Files (x86)\ICQ6Toolbar\ICQToolBar.dll
O1 - Hosts: ::1 localhost
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: Search Helper - {6EBF7485-159F-4bff-A14F-B9E3AAC4465B} - C:\Program Files (x86)\Microsoft\Search Enhancement Pack\Search Helper\SEPsearchhelperie.dll
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files (x86)\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files (x86)\Google\GoogleToolbarNotifier\5.0.926.3450\swg.dll
O2 - BHO: VMLoadBHO - {C17C7688-31D1-46D7-8C9B-5D253E4F5D5E} - C:\Users\Michael\AppData\Roaming\VMLoad\addin\VMLoad.dll (file missing)
O2 - BHO: FDMIECookiesBHO Class - {CC59E0F9-7E43-44FA-9FAA-8377850BF205} - C:\Program Files (x86)\Free Download Manager\iefdm2.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files (x86)\Java\jre6\bin\jp2ssv.dll
O2 - BHO: Windows Live Toolbar Helper - {E15A8DC0-8516-42A1-81EA-DC94EC1ACF10} - C:\Program Files (x86)\Windows Live\Toolbar\wltcore.dll
O3 - Toolbar: ICQToolBar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Program Files (x86)\ICQ6Toolbar\ICQToolBar.dll
O3 - Toolbar: &Windows Live Toolbar - {21FA44EF-376D-4D53-9B0F-8A89D3229068} - C:\Program Files (x86)\Windows Live\Toolbar\wltcore.dll
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files (x86)\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [Trojancheck 6 Guard] "C:\Program Files (x86)\Trojancheck 6\tcguard.exe"
O4 - HKLM\..\RunServices: [UpdaterLoad] C:\Users\Michael\Desktop\Marcel\CandiSoft_Load_0.5\Updaterpcre.exe
O4 - HKLM\..\RunServices: [tipresxtipresx] c:\program files (x86)\common files\microsoft shared\ink\uk-ua\microsoftsystem6.0.6000.16386.0611012205.exe
O4 - HKLM\..\RunServices: [VisualMicrosoft] c:\users\michael\appdata\locallow\sun\java\deployment\cache\6.0\46\759e98ee-4e1c9ca2-n\visualmsvcr71.exe
O4 - HKLM\..\RunServices: [StudioMicrosoft] c:\users\michael\appdata\locallow\sun\java\deployment\cache\6.0\54\1a209876-7bffc202-n\microsoftmsvcp71.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files (x86)\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [EPSON Stylus DX4400 Series] C:\Windows\system32\spool\DRIVERS\x64\3\E_IATICAE.EXE /FU "C:\Windows\TEMP\E_SB27.tmp" /EF "HKCU"
O4 - HKCU\..\Run: [Pando Media Booster] C:\Program Files (x86)\Pando Networks\Media Booster\PMB.exe
O4 - HKCU\..\Run: [Free Download Manager] C:\PROGRA~2\FREEDO~1\fdm.exe -autorun
O4 - HKCU\..\Run: [DAEMON Tools Lite] "C:\Program Files (x86)\DAEMON Tools Lite\DTLite.exe" -autorun
O4 - HKCU\..\Run: [WMPNSCFG] C:\Program Files (x86)\Windows Media Player\WMPNSCFG.exe
O4 - HKCU\..\Run: [Steam] "D:\Steam\Steam.exe" -silent
O4 - HKCU\..\Run: [ojvx] C:\Users\Michael\AppData\Local\Temp\OJvX.exe
O4 - HKCU\..\Run: [decorad3dStudio] c:\users\michael\appdata\locallow\sun\java\deployment\cache\6.0\46\759e98ee-4e1c9ca2-n\visualmsvcr71.exe
O4 - HKCU\..\Run: [MSVCR71Studio] c:\users\michael\appdata\locallow\sun\java\deployment\cache\6.0\54\1a209876-7bffc202-n\microsoftmsvcp71.exe
O4 - HKCU\..\Run: [updaterpcre] c:\users\michael\desktop\marcel\candisoft_load_0.5\updaterpcre.exe
O4 - HKCU\..\Run: [kndigungbarbarad] C:\Users\Michael\Desktop\Jose\JoseUSB\Unterlagen Barbara Moncayo\Kündigung\KndigungBarbarad.exe
O4 - HKCU\..\Run: [tipresxWindows] c:\program files (x86)\common files\microsoft shared\ink\el-gr\microsoftssta.exe
O4 - HKCU\..\Run: [DATAInternetSecurity] c:\users\michael\appdata\local\downloaded installations\{6496dacc-1029-4981-a189-04b9b0c9ce36}\internetsecuritydata.exe
O4 - HKCU\..\Run: [jinstallLauncher] C:\Users\Michael\AppData\Local\Temp\OJvX.exe
O4 - HKCU\..\RunServices: [InternetSecurityDATA] c:\users\michael\appdata\local\downloaded installations\{6496dacc-1029-4981-a189-04b9b0c9ce36}\internetsecuritydata.exe
O4 - HKCU\..\RunServices: [SonyFormat1.26363] c:\program files (x86)\sony\vegas pro 8.0\fileio plug-ins\gifplug\formatsony1.26363.exe
O4 - HKCU\..\RunServices: [gifplugSony] C:\Program Files (x86)\Sony\Vegas Pro 8.0\FileIO Plug-Ins\gifplug\FormatSony1.26363.exe
O4 - HKCU\..\RunServices: [ojvx] C:\Users\Michael\AppData\Local\Temp\OJvX.exe
O4 - HKCU\..\RunServices: [Microsoftdecorad3d] c:\users\michael\appdata\locallow\sun\java\deployment\cache\6.0\46\759e98ee-4e1c9ca2-n\visualdecorad3d.exe
O4 - HKCU\..\RunServices: [kndigungbarbarad] C:\Users\Michael\Desktop\Jose\JoseUSB\Unterlagen Barbara Moncayo\Kündigung\KndigungBarbarad.exe
O4 - HKCU\..\RunServices: [updaterpcre] c:\users\michael\desktop\marcel\candisoft_load_0.5\updaterpcre.exe
O4 - HKCU\..\RunServices: [tipresxMicrosoft] c:\program files (x86)\common files\microsoft shared\ink\el-gr\microsoftssta.exe
O4 - HKCU\..\RunServices: [sstaMicrosoft] c:\program files (x86)\common files\microsoft shared\ink\el-gr\microsoftssta.exe
O4 - HKCU\..\RunServices: [DATAInternetSecurity] c:\users\michael\appdata\local\downloaded installations\{6496dacc-1029-4981-a189-04b9b0c9ce36}\internetsecuritydata.exe
O4 - HKCU\..\RunServices: [PlatformJavaTM] C:\Users\Michael\AppData\Local\Temp\OJvX.exe
O4 - Global Startup: Dienst-Manager.lnk = C:\Program Files (x86)\Microsoft SQL Server\80\Tools\Binn\sqlmangr.exe
O8 - Extra context menu item: Alles mit FDM herunterladen - file://C:\Program Files (x86)\Free Download Manager\dlall.htm
O8 - Extra context menu item: Auswahl mit FDM herunterladen - file://C:\Program Files (x86)\Free Download Manager\dlselected.htm
O8 - Extra context menu item: Datei mit FDM herunterladen - file://C:\Program Files (x86)\Free Download Manager\dllink.htm
O8 - Extra context menu item: Videos mit FDM herunterladen - file://C:\Program Files (x86)\Free Download Manager\dlfvideo.htm
O9 - Extra button: In Blog veröffentlichen - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files (x86)\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra 'Tools' menuitem: In Windows Live Writer in Blog veröffentliche&n - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files (x86)\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Program Files (x86)\ICQ6.5\ICQ.exe (file missing)
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Program Files (x86)\ICQ6.5\ICQ.exe (file missing)
O13 - Gopher Prefix:
O16 - DPF: {5C051655-FCD5-4969-9182-770EA5AA5565} (Solitaire Showdown Class) - hxxp://messenger.zone.msn.com/binary/SolitaireShowdown.cab56986.cab
O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - hxxp://messenger.zone.msn.com/MessengerGamesContent/GameContent/de/uno1/GAME_UNO1.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - hxxp://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O16 - DPF: {D0C0F75C-683A-4390-A791-1ACFD5599AB8} (Oberon Flash Game Host) - hxxp://icq.oberon-media.com/Gameshell/GameHost/1.0/OberonGameHost.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - hxxp://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O22 - SharedTaskScheduler: Component Categories cache daemon - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\Windows\system32\browseui.dll
O23 - Service: @%SystemRoot%\system32\Alg.exe,-112 (ALG) - Unknown owner - C:\Windows\System32\alg.exe (file missing)
O23 - Service: @dfsrres.dll,-101 (DFSR) - Unknown owner - C:\Windows\system32\DFSR.exe (file missing)
O23 - Service: EPSON V3 Service4(01) (EPSON_PM_RPCV4_01) - SEIKO EPSON CORPORATION - C:\ProgramData\EPSON\EPW!3 SSRP\E_S40RPB.EXE
O23 - Service: Google Software Updater (gusvc) - Google - C:\Program Files (x86)\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: ICQ Service - Unknown owner - C:\Program Files (x86)\ICQ6Toolbar\ICQ Service.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files (x86)\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: @keyiso.dll,-100 (KeyIso) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: @comres.dll,-2797 (MSDTC) - Unknown owner - C:\Windows\System32\msdtc.exe (file missing)
O23 - Service: MSSQL$SONY_MEDIAMGR - Unknown owner - C:\Program Files (x86)\Sony\Shared Plug-Ins\Media Manager\MSSQL$SONY_MEDIAMGR\Binn\sqlservr.exe (file missing)
O23 - Service: Nero BackItUp Scheduler 3 - Nero AG - C:\Program Files (x86)\Nero\Nero8\Nero BackItUp\NBService.exe
O23 - Service: @%SystemRoot%\System32\netlogon.dll,-102 (Netlogon) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: NMIndexingService - Nero AG - C:\Program Files (x86)\Common Files\Nero\Lib\NMIndexingService.exe
O23 - Service: nProtect GameGuard Service (npggsvc) - Unknown owner - C:\Windows\system32\GameMon.des.exe (file missing)
O23 - Service: NVIDIA Display Driver Service (nvsvc) - Unknown owner - C:\Windows\system32\nvvsvc.exe (file missing)
O23 - Service: @%systemroot%\system32\psbase.dll,-300 (ProtectedStorage) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: @%systemroot%\system32\Locator.exe,-2 (RpcLocator) - Unknown owner - C:\Windows\system32\locator.exe (file missing)
O23 - Service: @%SystemRoot%\system32\samsrv.dll,-1 (SamSs) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: @%SystemRoot%\system32\SLsvc.exe,-101 (slsvc) - Unknown owner - C:\Windows\system32\SLsvc.exe (file missing)
O23 - Service: @%SystemRoot%\system32\snmptrap.exe,-3 (SNMPTRAP) - Unknown owner - C:\Windows\System32\snmptrap.exe (file missing)
O23 - Service: @%systemroot%\system32\spoolsv.exe,-1 (Spooler) - Unknown owner - C:\Windows\System32\spoolsv.exe (file missing)
O23 - Service: SQLAgent$SONY_MEDIAMGR - Unknown owner - C:\Program Files (x86)\Sony\Shared Plug-Ins\Media Manager\MSSQL$SONY_MEDIAMGR\Binn\sqlagent.EXE (file missing)
O23 - Service: Steam Client Service - Valve Corporation - C:\Program Files (x86)\Common Files\Steam\SteamService.exe
O23 - Service: TeamViewer 5 (TeamViewer5) - TeamViewer GmbH - C:\Program Files (x86)\TeamViewer\Version5\TeamViewer_Service.exe
O23 - Service: @%SystemRoot%\system32\ui0detect.exe,-101 (UI0Detect) - Unknown owner - C:\Windows\system32\UI0Detect.exe (file missing)
O23 - Service: @%SystemRoot%\system32\vds.exe,-100 (vds) - Unknown owner - C:\Windows\System32\vds.exe (file missing)
O23 - Service: @%systemroot%\system32\vssvc.exe,-102 (VSS) - Unknown owner - C:\Windows\system32\vssvc.exe (file missing)
O23 - Service: @%Systemroot%\system32\wbem\wmiapsrv.exe,-110 (wmiApSrv) - Unknown owner - C:\Windows\system32\wbem\WmiApSrv.exe (file missing)
O23 - Service: @%ProgramFiles%\Windows Media Player\wmpnetwk.exe,-101 (WMPNetworkSvc) - Unknown owner - C:\Program Files (x86)\Windows Media Player\wmpnetwk.exe (file missing)

--
End of file - 12705 bytes

cosinus · 09.05.2010, 21:11

Hallo und

Zitat:

Schon mehrmals CCleaner & Malwarebytes drüber laufen gelassen, diese finden auch keine Infizierten Daten mehr.

Poste bitte alle Logfiles von Malwarebytes, v.a. die wo Funde waren, denn man muss schon wissen, was genau wo gefunden wurde.

.Bow · 09.05.2010, 21:38

Zitat:

Zitat von cosinus

Hallo und

Poste bitte alle Logfiles von Malwarebytes, v.a. die wo Funde waren, denn man muss schon wissen, was genau wo gefunden wurde.

Ok.
Das ist der Log als ich Malwarebyte zum ersten laufen gelassen habe.
Die weiteren Log's haben dann nichts mehr gefunden und somit muss ich die wohl nicht posten. (?)

Code:

ATTFilter

Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Datenbank Version: 4071

Windows 6.0.6002 Service Pack 2 (Safe Mode)
Internet Explorer 7.0.6002.18005

06.05.2010 16:58:38
mbam-log-2010-05-06 (16-58-38).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|E:\|G:\|H:\|I:\|J:\|K:\|)
Durchsuchte Objekte: 736029
Laufzeit: 2 Stunde(n), 18 Minute(n), 6 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 6
Infizierte Registrierungswerte: 1
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 5

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_CURRENT_USER\Software\avsuite (Rogue.AntivirusSuite) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\Software\YVIBBBHA8C (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\XML (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Handle (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\Software\avsoft (Trojan.Fraudpack) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\Software\WEK9EMDHI9 (Trojan.Agent) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\rwfpcsde (Rogue.AntiSpywareSoft) -> Quarantined and deleted successfully.

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\Users\Michael\AppData\Local\hmusuvucx\yavyeegtssd.exe (Rogue.AntiSpywareSoft) -> Quarantined and deleted successfully.
C:\Users\Michael\AppData\Local\Temp\HFya.exe (Rootkit.Dropper) -> Quarantined and deleted successfully.
C:\Users\Michael\AppData\Local\Temp\MFMI.exe (Rogue.AntiSpywareSoft) -> Quarantined and deleted successfully.
C:\Users\Michael\Desktop\Marcel\CandiSoft_Load_0.5\ocr\netload.in\Captcha.exe (Malware.Packer) -> Quarantined and deleted successfully.
C:\Users\Michael\Desktop\Rest\Alles\Plugins\KeyGen.exe (Trojan.Agent.CK) -> Quarantined and deleted successfully.

cosinus · 10.05.2010, 08:57

Zitat:

C:\Users\Michael\Desktop\Rest\Alles\Plugins\KeyGen.exe

Die (Be)nutzung von Cracks, Serials und Keygens ist illegal, somit gibt es im Trojaner-Board keinen weiteren Support mehr.

Für Dich geht es hier weiter => Neuaufsetzen des Systems
Bitte auch alle Passwörter abändern (für E-Mail-Konten, StudiVZ, Ebay...einfach alles!) da nicht selten in dieser dubiosen Software auch Keylogger und Backdoorfunktionen stecken.

Danach nie wieder sowas anrühren!

MissChicca · 11.05.2010, 06:55

Hallo habe seit heute früh auch das Problem mit Antispyware Soft.

Das größere Problem ist,das ich kein AntimalwareBytes oder OTL oder desgleichen ausführen kann,wer kann mir weiter helfen ? Komme nicht mal in den Taskmanager rein

Anti SpyWare Soft

Antiviren-, Firewall- und andere Schutzprogramme: Anti SpyWare Soft