Trojaner-Board - Massiver Befall von unterschiedlicher Spyware!

Trojaner-Board (https://www.trojaner-board.de/)

- Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)

- - Massiver Befall von unterschiedlicher Spyware! (https://www.trojaner-board.de/14943-massiver-befall-unterschiedlicher-spyware.html)

Massiver Befall von unterschiedlicher Spyware!

Hallo,
Meinen Rechner hat es seit 1 Woche ziemlich hart erwischt in Sachen Spyware. Es sind drei Sachen die meinen Rechner ziemlich hart belasten, 2 Popups und 1 Hilfefenster das neben der Uhr immer auftaucht. Ich hab schon so gut wie alle Programme ausprobiert um die Sachen zu entfernen. Darunter waren unteranderem Adware, CW Shredder und Spybot.

Ich hab hier mal Screens gemacht von den Popups die bei mir immer auftauchen.

http://dl1.rapidshare.de/files/774415/208/Spyware1.jpg
Öffnet sich immer wieder als Hilfefenster und neben der Uhr. Das gelbe Ausrufezeichen unten bleibt aber immer bestehen. Und alle 5 -10 Minuten öffnet es sich und bringt diesen Hinweis wie es auf dem Bild zu sehen ist.

http://dl1.rapidshare.de/files/774460/208/Spyware2.jpg
Pop-Up Fenster das sich alle 15 Minuten öffnet, und immer voll herumnervt. Spybot und Adware haben nicht geholfen zum erfolgreichen entfernen.

http://dl1.rapidshare.de/files/774480/208/Spyware3.jpg
Tritt auch alle 15-20 Minuten auf, es kommt manchmal auch in einer anderen Ausführung zur Geltung. Aber es ist auf jeden Fall immer so ein "Warning" Fenster das sich öffnet. Auch das hab ich bisher nicht wegbekommen.

Kennnt ihr eine Möglichkeit wie ich den Mist endlich endgültig runterkomme. Denn es nervt echt und es behindert einen ziemlich oft wenn man arbeitet oder gerade andere Sachen zu tun hat am Rechner.

Bitte um Hilfe!

Danke

TommyXP

@TommyXP
poste ein HJT logfile
direktdownload
anleitung
chaosman

Hier mein Log:

Zitat:

Logfile of HijackThis v1.99.1
Scan saved at 18:04:20, on 05.03.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\Treiber\NETWOR~1\bin\nTrayFw.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\system32\xpsp2fw.exe
P:\Programme\Internet\JAVA\bin\jusched.exe
P:\Programme\Music\Winamp\winampa.exe
C:\Programme\Gemeinsame Dateien\InterVideo\SchSvr\SchSvr.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\ctfmon.exe
C:\PROGRA~1\Treiber\NETWOR~1\Apache Group\Apache2\bin\apache.exe
C:\PROGRA~1\Treiber\NETWOR~1\bin\nSvcIp.exe
C:\PROGRA~1\Treiber\NETWOR~1\bin\nSvcLog.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\PROGRA~1\Treiber\NETWOR~1\bin\nSvcAppFlt.exe
C:\PROGRA~1\Treiber\NETWOR~1\Apache Group\Apache2\bin\apache.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Internet Explorer\iexplore.exe
P:\Programme\Music\Winamp\Winamp.exe
C:\DOKUME~1\RHLE~1\LOKALE~1\Temp\Rar$EX00.750\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOKUME~1\RHLE~1\LOKALE~1\Temp\se.dll/sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - P:\Programme\Sonstige\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {44C3330C-F373-4261-B97A-1A7FC650216D} - C:\WINDOWS\system32\nion.dll (file missing)
O4 - HKLM\..\Run: [nTrayFw] C:\PROGRA~1\Treiber\NETWOR~1\bin\nTrayFw.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [XPSP2 Firewall] C:\WINDOWS\system32\xpsp2fw.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] P:\Programme\Internet\JAVA\bin\jusched.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [WinampAgent] P:\Programme\Music\Winamp\winampa.exe
O4 - HKLM\..\Run: [WinDVR SchSvr] "C:\Programme\Gemeinsame Dateien\InterVideo\SchSvr\SchSvr.exe"
O4 - HKLM\..\Run: [sp] rundll32 C:\DOKUME~1\RHLE~1\LOKALE~1\Temp\se.dll,DllInstall
O4 - HKLM\..\RunOnce: [Srv32 spool service] C:\WINDOWS\System32\spoolsrv32.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Windows Update Client ] C:\WINDOWS\system32\wuclient.exe
O4 - HKCU\..\Run: [SpyEmergency] "P:\Programme\Sicherheit\Spy Emergency\SpyEmergency.exe"
O4 - HKCU\..\RunOnce: [Srv32 spool service] C:\WINDOWS\System32\spoolsrv32.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = P:\Programme\Sonstige\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://P:\PROGRA~1\Office\MICROS~1\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - P:\Programme\Internet\JAVA\bin\npjpi150_01.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - P:\Programme\Internet\JAVA\bin\npjpi150_01.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - P:\PROGRA~1\Office\MICROS~1\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: c:\windows\system32\fltmgr.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\fltmgr.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\fltmgr.dll
O16 - DPF: {DF6504AC-3EFE-4287-B259-FB299B069C95} (WEBDE Fotoalbum Upload Control) - https://img.web.de/v/fotoalbum/activex/upload_11110.cab
O23 - Service: Adobe LM Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: app_filter - Unknown owner - C:\PROGRA~1\Treiber\NETWOR~1\bin\nSvcAppFlt.exe
O23 - Service: Forceware Web Interface (ForcewareWebInterface) - Unknown owner - C:\PROGRA~1\Treiber\NETWOR~1\Apache Group\Apache2\bin\apache.exe" -k runservice (file missing)
O23 - Service: ForceWare IP service (nSvcIp) - Unknown owner - C:\PROGRA~1\Treiber\NETWOR~1\bin\nSvcIp.exe
O23 - Service: ForceWare user log service (nSvcLog) - Unknown owner - C:\PROGRA~1\Treiber\NETWOR~1\bin\nSvcLog.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

@TommyXP
du hast einiges im system
lade LSP-Fix download
lade spybot , installiere es und update es download

lade escan download
anleitung

überprüfe Deinen Rechner zunächst mit dem eScan: lade den eScan runter, erstelle dafür einen Ordner (=Verzeichnis) c:\bases, update den eScan online und führe ihn offline im abgesicherten Modus aus. Beachte, dass der eScan ab Version 4.5.1 gefundene Malware nicht löscht. Das wird von Hand auf Anweisung durch uns gemacht.

Teile uns dann das Ergebnis des eScan mit: welche Viren wurden auf Deinem Rechner gefunden: "öffne die mwav.log -> Bearbeiten -> Suchen -> infected eingeben -> Weitersuchen -> Treffer markieren/kopieren und ins Forum übertragen." (Zitat Cidre)

chaosman

ok, ich hab jetzt einmal Escan durchlaufen lassen.

Nichts anderes nur das EScan.

Und hier ist die Log:

Zitat:

Sat Mar 05 18:27:44 2005 => File C:\WINDOWS\system32\fltmgr.dll infected by "not-a-virus:AdWare.Searcher.b" Virus. Action Taken: No Action Taken.
Sat Mar 05 18:28:01 2005 => File C:\WINDOWS\system32\xpsp2fw.exe infected by "Trojan-Downloader.Win32.Agent.jy" Virus. Action Taken: No Action Taken.
Sat Mar 05 18:28:01 2005 => File C:\WINDOWS\System32\spoolsrv32.exe infected by "not-a-virus:AdWare.FindSpy.b" Virus. Action Taken: No Action Taken.
Sat Mar 05 18:28:02 2005 => File C:\WINDOWS\system32\wuclient.exe infected by "Trojan-Downloader.Win32.Agent.jy" Virus. Action Taken: No Action Taken.
Sat Mar 05 18:28:24 2005 => File C:\WINDOWS\system32\catelutu.exe infected by "Trojan-Dropper.Win32.Small.oy" Virus. Action Taken: No Action Taken.
Sat Mar 05 18:28:25 2005 => File C:\WINDOWS\system32\cldvpp2dva.exe infected by "Trojan-Downloader.Win32.Small.ahu" Virus. Action Taken: No Action Taken.
Sat Mar 05 18:28:33 2005 => File C:\WINDOWS\system32\diaclueds.dll infected by "Trojan-Downloader.Win32.Small.ahv" Virus. Action Taken: No Action Taken.
Sat Mar 05 18:28:36 2005 => File C:\WINDOWS\system32\dsnvagvica.dll infected by "Trojan.Win32.StartPage.ua" Virus. Action Taken: No Action Taken.
Sat Mar 05 18:28:37 2005 => File C:\WINDOWS\system32\edadsn.dll infected by "Trojan-Downloader.Win32.Small.ahv" Virus. Action Taken: No Action Taken.
Sat Mar 05 18:28:39 2005 => File C:\WINDOWS\system32\fltmgr.dll infected by "not-a-virus:AdWare.Searcher.b" Virus. Action Taken: No Action Taken.
Sat Mar 05 18:28:45 2005 => File C:\WINDOWS\system32\ilelcdmod.exe infected by "Trojan-Downloader.Win32.Small.ahu" Virus. Action Taken: No Action Taken.
Sat Mar 05 18:28:55 2005 => File C:\WINDOWS\system32\lrsvcno.exe infected by "Trojan-Dropper.Win32.Small.oy" Virus. Action Taken: No Action Taken.
Sat Mar 05 18:28:58 2005 => File C:\WINDOWS\system32\mondsl.exe infected by "Trojan-Dropper.Win32.Small.oy" Virus. Action Taken: No Action Taken.
Sat Mar 05 18:29:07 2005 => File C:\WINDOWS\system32\ncdven.exe infected by "Trojan-Downloader.Win32.Small.ahu" Virus. Action Taken: No Action Taken.
Sat Mar 05 18:29:30 2005 => File C:\WINDOWS\system32\sipcrx3.exe infected by "Trojan-Dropper.Win32.Small.oy" Virus. Action Taken: No Action Taken.
Sat Mar 05 18:29:31 2005 => File C:\WINDOWS\system32\sn1agvdin.dll infected by "Trojan-Downloader.Win32.Small.ahv" Virus. Action Taken: No Action Taken.
Sat Mar 05 18:29:33 2005 => File C:\WINDOWS\system32\srpcsrv32.dll infected by "not-a-virus:AdWare.Xawm.a" Virus. Action Taken: No Action Taken.
Sat Mar 05 18:29:34 2005 => File C:\WINDOWS\system32\svcipc.exe infected by "Trojan-Downloader.Win32.Agent.jy" Virus. Action Taken: No Action Taken.
Sat Mar 05 18:29:38 2005 => File C:\WINDOWS\system32\txfdb32.dll infected by "not-a-virus:AdWare.Xawm.a" Virus. Action Taken: No Action Taken.
Sat Mar 05 18:30:16 2005 => File C:\DOKUME~1\RHLE~1\LOKALE~1\Temp\se.dll infected by "Trojan.Win32.StartPage.uz" Virus. Action Taken: No Action Taken.

Um weitere Mithilfe würde ich mich sehr freuen!

danke

TommyXP

hey tommy

lade dir killbox:http://www.bleepingcomputer.com/files/killbox.php
und lösche im abgesicherten modus und deaktivierter systemwiederherstellung die infizierten dateien damit.

so hab jetzt noch mal einiges probiert.

das zeug ist aber immer noch drauf und nervt vollkommen herum!

Bitte um weitere hilfe!

hast du alle gelöscht bei deaktivierter system wiederherstellung?
und im abgesicherten modus?

Zitat:

Zitat von The Don - D.R.

hast du alle gelöscht bei deaktivierter system wiederherstellung?
und im abgesicherten modus?

ich weiß nichzt wie man mit dem programm umgeht!

Kopiere den Pfad der Malware Datei z.B. C:\WINDOWS\system32\fltmgr.dll -> füge diesen in KillBox ein -> wähle die Option "Delete on reboot" -> rotes X anklicken -> die zwei folgenden Fragen mit JA und NEIN beantworten -> nächsten Pfad einfügen usw. -> wenn du alle Dateien hast, dann starte dein System neu.