|
Probleme mit spyware Guten morgen liebe Leute. Das ist mein erster Beitrag hier, aber ich hoffe trotzdem dass irgendwer so freundlich sein könnte und mir hilft. Dazu ist zu sagen dass ich nicht wirklich ahnung habe. In den letzten Tagen fiel mir auf dass mein pc immer langsam läuft. Ich habe daraufhin mit Spybot einen Spy entfernt. Im Taskmanager ist 3 mal der Prozess iexplore.exe vertreten. Ich bekomme in 10-min Abständen IE-explorer Pop-ups von CiD obwohl ich mit firefox surfe :(. Ich habe dann jetzt mal HighJackThis durchlaufen lassen. Ich wäre euch sehr dankbar, wenn ihr mir bei meinem Problem helfen könntet. Vieleicht hättet ihr ein paar Lösungsansätze parat. Hier ist mein Log: Logfile of HijackThis v1.99.1 Scan saved at 05:09:05, on 01.08.2007 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINNT\System32\smss.exe C:\WINNT\system32\csrss.exe C:\WINNT\system32\winlogon.exe C:\WINNT\system32\services.exe C:\WINNT\system32\lsass.exe C:\WINNT\system32\svchost.exe C:\WINNT\system32\svchost.exe C:\WINNT\System32\svchost.exe C:\WINNT\system32\svchost.exe C:\WINNT\system32\svchost.exe C:\WINNT\system32\spoolsv.exe C:\Programme\Network Associates\Common Framework\FrameworkService.exe C:\Programme\Network Associates\VirusScan\Mcshield.exe C:\PROGRA~1\NETWOR~1\COMMON~1\naPrdMgr.exe C:\Programme\Network Associates\VirusScan\VsTskMgr.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE C:\WINNT\system32\nvsvc32.exe C:\Programme\Analog Devices\SoundMAX\SMAgent.exe C:\WINNT\system32\svchost.exe C:\WINNT\system32\wdfmgr.exe C:\WINNT\System32\alg.exe C:\WINNT\system32\wscntfy.exe C:\WINNT\system32\WgaTray.exe C:\WINNT\Explorer.EXE C:\Programme\Network Associates\VirusScan\SHSTAT.EXE C:\Programme\Network Associates\Common Framework\UpdaterUI.exe C:\Programme\Analog Devices\SoundMAX\SMax4PNP.exe C:\Programme\Analog Devices\SoundMAX\Smax4.exe C:\WINNT\system32\RunDLL32.exe C:\Programme\Java\jre1.5.0_10\bin\jusched.exe C:\WINNT\system32\ctfmon.exe C:\Programme\Internet Explorer\iexplore.exe C:\Programme\Internet Explorer\iexplore.exe C:\Programme\Internet Explorer\iexplore.exe C:\WINNT\System32\svchost.exe G:\Mozilla Firefox\firefox.exe C:\WINNT\system32\msiexec.exe C:\WINNT\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe C:\WINNT\system32\MsiExec.exe C:\WINNT\system32\MsiExec.exe C:\Programme\Microsoft Visual Studio 8\Common7\IDE\VCExpress.exe C:\Dokumente und Einstellungen\Administrator\Desktop\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://start.icq.com/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http:\\www.google.de R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll O2 - BHO: XTTBPos00 - {055FD26D-3A88-4e15-963D-DC8493744B1D} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - E:\xxxxxxx\SPYBOT~1\SDHelper.dll (file missing) O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_10\bin\ssv.dll O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll O4 - HKLM\..\Run: [ShStatEXE] "C:\Programme\Network Associates\VirusScan\SHSTAT.EXE" /STANDALONE O4 - HKLM\..\Run: [McAfeeUpdaterUI] "C:\Programme\Network Associates\Common Framework\UpdaterUI.exe" O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINNT\system32\NeroCheck.exe O4 - HKLM\..\Run: [SoundMAXPnP] C:\Programme\Analog Devices\SoundMAX\SMax4PNP.exe O4 - HKLM\..\Run: [SoundMAX] "C:\Programme\Analog Devices\SoundMAX\Smax4.exe" /tray O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINNT\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [NvMediaCenter] RunDLL32.exe NvMCTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [memo site kind that] C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Grid Blue Memo Site\Beep Slow.exe O4 - HKLM\..\Run: [Else Barb Log That] C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Enc safe that grid\Second Junk Inside.exe O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.5.0_10\bin\jusched.exe" O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINNT\system32\ctfmon.exe O4 - HKCU\..\Run: [Octoshape Streaming Services] "C:\Programme\Octoshape Streaming Services\Administrator\OctoshapeClient.exe" -inv:bootrun O4 - HKCU\..\Run: [Dumb burn] C:\DOKUME~1\ADMINI~1\ANWEND~1\INFOMU~1\name bait.exe O4 - HKCU\..\Run: [DAEMON Tools] "G:\daemon tools\daemon.exe" -lang 1033 O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_10\bin\npjpi150_10.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_10\bin\npjpi150_10.dll O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\Programme\ICQ\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\Programme\ICQ\ICQ.exe O9 - Extra button: Knowledge Base Suche - {8b2d996f-b7d1-4961-a929-414d9cf5ba7b} - http://support.microsoft.com/default.aspx?scid=FH;EN-US;KBHOWTO (file missing) O9 - Extra 'Tools' menuitem: Knowledge Base Suche - {8b2d996f-b7d1-4961-a929-414d9cf5ba7b} - http://support.microsoft.com/default.aspx?scid=FH;EN-US;KBHOWTO (file missing) O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - G:\icq\ICQ6\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - G:\icq\ICQ6\ICQ.exe O14 - IERESET.INF: START_PAGE_URL=http:\\www.google.de O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Help\hxds.dll O20 - Winlogon Notify: WgaLogon - C:\WINNT\SYSTEM32\WgaLogon.dll O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe O23 - Service: McAfee Framework Service (McAfeeFramework) - Network Associates, Inc. - C:\Programme\Network Associates\Common Framework\FrameworkService.exe O23 - Service: Network Associates McShield (McShield) - Network Associates, Inc. - C:\Programme\Network Associates\VirusScan\Mcshield.exe O23 - Service: Network Associates Task Manager (McTaskManager) - Network Associates, Inc. - C:\Programme\Network Associates\VirusScan\VsTskMgr.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINNT\system32\nvsvc32.exe O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programme\Analog Devices\SoundMAX\SMAgent.exe O23 - Service: Sony SPTI Service (SPTISRV) - Sony Corporation - C:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\SPTISRV.exe Ich persönlich sehe da 3 oder 4 Sachen die bestimmt nicht so gut sind. Nur leider habe ich davon wirklich keine Ahnung und poste hier lieber diesen Log bevor ich noch mehr kaputt mache. MfG Theo |
Hallo und Willkommen, du hast mehrere Einträge die zu überprüfen sind. Zitat:
VirusTotal - Kostenloser online Viren- und Malwarescanner Gruss :party: |
Hallo Felixx65, danke für deine Hilfe :) Ich habe jetzt die 3 Dateien bei virustotal.com überprüft. Dabei sind folgende Ergebnisse herausgekommen: Datei Beep_Slow.exe empfangen 2007.08.01 12:30:06 (CET) Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt Ergebnis: 10/31 (32.26%) Laden der Serverinformationen... Ihre Datei wartet momentan auf Position: 3. Geschätzte Startzeit is zwischen 52 und 75 Sekunden. Dieses Fenster bis zum Abschluss des Scans nicht schließen. Der Scanner, welcher momentan Ihre Datei bearbeitet ist momentan gestoppt. Wir warten einige Sekunden um Ihr Ergebnis zu erstellen. Falls Sie längern als fünf Minuten warten, versenden Sie bitte die Datei erneut. Ihre Datei wird momentan von VirusTotal überprüft, Ergebnisse werden sofort nach der Generierung angezeigt. Filter Filter Drucken der Ergebnisse Drucken der Ergebnisse Datei existiert nicht oder dessen Lebensdauer wurde überschritten Dienst momentan gestoppt. Ihre Datei befindet sich in der Warteschlange (position: ). Diese wird abgearbeitet, wenn der Dienst wieder startet. SIe können auf einen automatischen reload der homepage warten, oder ihre email in das untere formular eintragen. Klicken Sie auf "Anfragen", damit das System sie benachrichtigt wenn die Überprüfung abgeschlossen ist. Email: Antivirus Version letzte aktualisierung Ergebnis AhnLab-V3 2007.8.2.0 2007.08.01 - AntiVir 7.4.0.54 2007.08.01 - Authentium 4.93.8 2007.07.31 - Avast 4.7.1029.0 2007.07.31 Win32:Obfuscated-BPP AVG 7.5.0.476 2007.07.31 Generic6.HC BitDefender 7.2 2007.08.01 - CAT-QuickHeal 9.00 2007.07.31 - ClamAV 0.91 2007.08.01 - DrWeb 4.33 2007.08.01 Trojan.Packed.149 eSafe 7.0.15.0 2007.07.31 - eTrust-Vet 31.1.5022 2007.08.01 - Ewido 4.0 2007.07.31 - FileAdvisor 1 2007.08.01 - Fortinet 2.91.0.0 2007.08.01 - F-Prot 4.3.2.48 2007.07.31 - F-Secure 6.70.13030.0 2007.08.01 Trojan.Win32.Obfuscated.en Ikarus T3.1.1.8 2007.08.01 not-a-virus:AdWare.Win32.Lop.ag Kaspersky 4.0.2.24 2007.08.01 Trojan.Win32.Obfuscated.en McAfee 5087 2007.07.31 - Microsoft 1.2704 2007.08.01 - NOD32v2 2430 2007.07.31 - Norman 5.80.02 2007.07.31 - Panda 9.0.0.4 2007.08.01 Suspicious file Rising 19.34.22.00 2007.08.01 - Sophos 4.19.0 2007.08.01 - Sunbelt 2.2.907.0 2007.07.31 VIPRE.Suspicious Symantec 10 2007.08.01 - TheHacker 6.1.7.160 2007.08.01 - VBA32 3.12.2.2 2007.07.31 MalwareScope.Trojan-Downloader.Obfuscated.2 VirusBuster 4.3.26:9 2007.07.31 - Webwasher-Gateway 6.0.1 2007.08.01 Worm.Win32.Malware.gen (suspicious) weitere Informationen File size: 2240000 bytes MD5: 3c9357fd435182f1a9cc924d480d1e65 SHA1: a0ddd438f20dc558760fc5f2207c4fe526cc67e5 Sunbelt info: VIPRE.Suspicious is a generic detection for potential threats that are deemed suspicious through heuristics. Datei Second_Junk_Inside.exe empfangen 2007.08.01 12:46:16 (CET) Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt Ergebnis: 7/32 (21.88%) Laden der Serverinformationen... Ihre Datei wartet momentan auf Position: 4. Geschätzte Startzeit is zwischen 58 und 83 Sekunden. Dieses Fenster bis zum Abschluss des Scans nicht schließen. Der Scanner, welcher momentan Ihre Datei bearbeitet ist momentan gestoppt. Wir warten einige Sekunden um Ihr Ergebnis zu erstellen. Falls Sie längern als fünf Minuten warten, versenden Sie bitte die Datei erneut. Ihre Datei wird momentan von VirusTotal überprüft, Ergebnisse werden sofort nach der Generierung angezeigt. Filter Filter Drucken der Ergebnisse Drucken der Ergebnisse Datei existiert nicht oder dessen Lebensdauer wurde überschritten Dienst momentan gestoppt. Ihre Datei befindet sich in der Warteschlange (position: ). Diese wird abgearbeitet, wenn der Dienst wieder startet. SIe können auf einen automatischen reload der homepage warten, oder ihre email in das untere formular eintragen. Klicken Sie auf "Anfragen", damit das System sie benachrichtigt wenn die Überprüfung abgeschlossen ist. Email: Antivirus Version letzte aktualisierung Ergebnis AhnLab-V3 2007.8.2.0 2007.08.01 - AntiVir 7.4.0.54 2007.08.01 - Authentium 4.93.8 2007.07.31 - Avast 4.7.1029.0 2007.07.31 Win32:Obfuscated-BPT AVG 7.5.0.476 2007.07.31 Generic6.HD BitDefender 7.2 2007.08.01 - CAT-QuickHeal 9.00 2007.07.31 - ClamAV 0.91 2007.08.01 - DrWeb 4.33 2007.08.01 - eSafe 7.0.15.0 2007.07.31 - eTrust-Vet 31.1.5022 2007.08.01 - Ewido 4.0 2007.08.01 - FileAdvisor 1 2007.08.01 - Fortinet 2.91.0.0 2007.08.01 - F-Prot 4.3.2.48 2007.07.31 - F-Secure 6.70.13030.0 2007.08.01 Trojan.Win32.Obfuscated.en Ikarus T3.1.1.8 2007.08.01 - Kaspersky 4.0.2.24 2007.08.01 Trojan.Win32.Obfuscated.en McAfee 5087 2007.07.31 - Microsoft 1.2704 2007.08.01 - NOD32v2 2430 2007.07.31 - Norman 5.80.02 2007.07.31 - Panda 9.0.0.4 2007.08.01 - Prevx1 V2 2007.08.01 - Rising 19.34.22.00 2007.08.01 - Sophos 4.19.0 2007.08.01 - Sunbelt 2.2.907.0 2007.07.31 VIPRE.Suspicious Symantec 10 2007.08.01 - TheHacker 6.1.7.160 2007.08.01 - VBA32 3.12.2.2 2007.07.31 MalwareScope.Trojan-Downloader.Obfuscated.2 VirusBuster 4.3.26:9 2007.07.31 - Webwasher-Gateway 6.0.1 2007.08.01 Win32.Malware.gen (suspicious) weitere Informationen File size: 546304 bytes MD5: 4b8fce3c042a9a99b21b9a6aebf42759 SHA1: 059bb9c325943b1fd81b48ae2345ea3604ac1b9b Sunbelt info: VIPRE.Suspicious is a generic detection for potential threats that are deemed suspicious through heuristics. Datei name_bait.exe empfangen 2007.08.01 13:01:25 (CET) Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt Ergebnis: 12/32 (37.5%) Laden der Serverinformationen... Ihre Datei wartet momentan auf Position: 3. Geschätzte Startzeit is zwischen 52 und 75 Sekunden. Dieses Fenster bis zum Abschluss des Scans nicht schließen. Der Scanner, welcher momentan Ihre Datei bearbeitet ist momentan gestoppt. Wir warten einige Sekunden um Ihr Ergebnis zu erstellen. Falls Sie längern als fünf Minuten warten, versenden Sie bitte die Datei erneut. Ihre Datei wird momentan von VirusTotal überprüft, Ergebnisse werden sofort nach der Generierung angezeigt. Filter Filter Drucken der Ergebnisse Drucken der Ergebnisse Datei existiert nicht oder dessen Lebensdauer wurde überschritten Dienst momentan gestoppt. Ihre Datei befindet sich in der Warteschlange (position: ). Diese wird abgearbeitet, wenn der Dienst wieder startet. SIe können auf einen automatischen reload der homepage warten, oder ihre email in das untere formular eintragen. Klicken Sie auf "Anfragen", damit das System sie benachrichtigt wenn die Überprüfung abgeschlossen ist. Email: Antivirus Version letzte aktualisierung Ergebnis AhnLab-V3 2007.8.2.0 2007.08.01 - AntiVir 7.4.0.54 2007.08.01 TR/Obfuscated.EN.75 Authentium 4.93.8 2007.07.31 - Avast 4.7.1029.0 2007.07.31 - AVG 7.5.0.476 2007.07.31 Generic6.HF BitDefender 7.2 2007.08.01 - CAT-QuickHeal 9.00 2007.07.31 - ClamAV 0.91 2007.08.01 - DrWeb 4.33 2007.08.01 Trojan.Packed.149 eSafe 7.0.15.0 2007.07.31 - eTrust-Vet 31.1.5022 2007.08.01 - Ewido 4.0 2007.08.01 - FileAdvisor 1 2007.08.01 - Fortinet 2.91.0.0 2007.08.01 W32/Obfuscated.EN!tr F-Prot 4.3.2.48 2007.07.31 - F-Secure 6.70.13030.0 2007.08.01 Trojan.Win32.Obfuscated.en Ikarus T3.1.1.8 2007.08.01 not-a-virus:AdWare.Win32.Lop.ag Kaspersky 4.0.2.24 2007.08.01 Trojan.Win32.Obfuscated.en McAfee 5087 2007.07.31 - Microsoft 1.2704 2007.08.01 Spyware:Win32/C2Lop.B NOD32v2 2430 2007.07.31 - Norman 5.80.02 2007.07.31 - Panda 9.0.0.4 2007.08.01 - Prevx1 V2 2007.08.01 Adware.Lop.Downloader Rising 19.34.22.00 2007.08.01 - Sophos 4.19.0 2007.08.01 - Sunbelt 2.2.907.0 2007.07.31 VIPRE.Suspicious Symantec 10 2007.08.01 - TheHacker 6.1.7.160 2007.08.01 - VBA32 3.12.2.2 2007.07.31 MalwareScope.Trojan-Downloader.Obfuscated.2 VirusBuster 4.3.26:9 2007.07.31 - Webwasher-Gateway 6.0.1 2007.08.01 Trojan.Obfuscated.EN.75 Außerdem habe ich festgestellt dass sich in dem Ordner der Datei name bait.exe auch noch weitere exe.-Dateien befinden: -ceymxugc.exe -Pile 32 htm.exe -Pile poke chic.exe ich denke mal diese Dateien sind auch nicht gut :( MfG Theo |
Naja das ist nicht grad sehr schlimm... Aber 1 Tipp für dich: Wenn eine .exe Datei einen englischen Namen hat, und der auchso unsinnig ist wie die du auf dem PC hattetst, und die dann auch in einem Ordner mit einem Namen der genauso aufgebaut ist ist, kannst du davon ausgehen dass das Malware ist |
Hallo Theo 20, die von felixx genannten Einträge sehen sehr nach Swizzor aus. In den FAQ dieses Boards gibt es eine Anleitung zu seiner Entfernung. Danach poste ein neues HJT-Logfile (benenne aber vorher die hijackthis.exe um in hjt.exe). Prüfe deinen Rechner auch mit eScan, poste danach die Ergebnisse mit Hilfe der find.bat (siehe Anleitung in den FAQ), und schließlich auch mit Blacklight von F-Secure. |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 11:30 Uhr. |
Copyright ©2000-2025, Trojaner-Board