Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   ich werde die spyware nicht los (https://www.trojaner-board.de/42715-spyware-los.html)

c_C_c 27.08.2007 18:25

ich werde die spyware nicht los
 
halloo...!

ich hab mir auf irgendner dummen seite spyware eingafangen. jetzt springen ständig seiten auf die für antispyware werben ich erhalte ständig spyware - system- und windows security alerts und mein desktop hintergrund verwandelt sich regelmäßig in eine riesige werbung.
ich hab schon mit allen möglichen programmen versucht die spyware loszuwerden aber nichts hilft. ich habs mit AVG probiert, Ad-Aware , spybot - search and destroy, hitman pro bla bla und ich bekomms nicht weg.
es springen dann seiten wie
http://scanner.spy-shredder.com/3/?advid=1216
auf und das so ca alle 30 sec.!
mein pc wird dadurch natürlich total langsam.

bitte helft mir..!:heulen:

wäre echt total lieb! :heilig:

dani2112 27.08.2007 18:28

Hallo c_C_c bitte erstelle nach folgender Anleitung ein Hijackthis Logfile und poste es anschließend:

Anleitung

Edit: Oh gleich 4fache Hilfe für den TO

myrtille 27.08.2007 18:28

Hi,
erstelle bitte als erstes ein HijackThislog. :)

Daraus sollten man dann die nächsten Schritte schließen! :)

lg myrtille

EDIT: Hat denn hier keiner was zu tun? :kloppen: Wasn das für ein Ansturm? :D

Sunny 27.08.2007 18:29

http://www.world-of-smilies.com/smil...18_x_b_f_b.gif


Als erstes brauchen wir mehr Informationen zu deinem System, arbeite dazu folgende Anleitungen ab:



Anleitung SmitfraudFix:

Lade dir dieses Tool -> SmitfraudFix
-Starte es dann und lass das System durchsuchen. (Option 1)

http://www.castlecops.com/zx/sjpritch25/Fix01b.jpg

-Poste danach wie in der Anleitung beschrieben, das Ergebnis des Scans


Erstellung eines Hijacklog

-Hier gibt es das Tool -> HijackThis
(nur diese Version benutzen, nicht die BETA-Version!)
-Suche die Datei HiJackThis.exe und benenne sie um in 'This.exe'
(Klick rechte Maustaste -> umbenennen)
-Starte nun mit Doppelklick auf This.exe
-Klicke auf den rot markierten Button Do a system scan and save a log file
-Nach dem Scan öffnet sich ein Editor Fenster, kopiere nun dieses Logfile ab und füge es in deinen Beitrag im Forum mit ein)


F-Secure Blacklight – Rootkitscanner:

* Scanne dein System mit F-Secure Blacklight
* Poste im Anschluss das Ergebnis des Reportes in dem du alles abkopierst und hier in einen Beitrag einfügst. (die Datei sollte auf C: angelegt werden.)

Gruß
Sunny

EDIT:


Das nennt man Threadvergewaltigung!!! :p

nochdigger 27.08.2007 18:29

Hallo

mach bitte zuerst alle versteckten Dateien und Ordner sichtbar.

Lies diese Anleitung bitte sehr genau und halte dich daran!
Anschließend erstelle bitte ein HijackThis Log
nach Anleitung, benenne aber die Hijackthis.exe um in z.B. ABC.exe und bitte
editiere alle Links (z.B. http -> hxxp) sowie persönlichen Einträge wie realname usw.

MFG

Moin nochmal Sunny und Moin myrtille

Edit - ja verdammt voll hier;)

c_C_c 27.08.2007 18:36

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 19:36:07, on 27.08.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe
C:\Programme\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe
F:\Chat\INCRED~1\bin\ImApp.exe
C:\Programme\ICQLite\ICQLite.exe
F:\Programme\Mozilla Firefox\firefox.exe
C:\DOKUME~1\Chelly\LOKALE~1\Temp\Rar$EX11.219\This.exe
C:\DOKUME~1\Chelly\LOKALE~1\Temp\Rar$EX13.953\This.exe
C:\DOKUME~1\Chelly\LOKALE~1\Temp\Rar$EX13.656\This.exe
C:\DOKUME~1\Chelly\LOKALE~1\Temp\Rar$EX17.859\This.exe
C:\DOKUME~1\Chelly\LOKALE~1\Temp\Rar$EX17.875\This.exe
C:\DOKUME~1\Chelly\LOKALE~1\Temp\Rar$EX17.500\This.exe
C:\DOKUME~1\Chelly\LOKALE~1\Temp\Rar$EX17.906\This.exe
C:\DOKUME~1\Chelly\LOKALE~1\Temp\Rar$EX17.297\This.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,SearchAssistant = http://search.bearshare.com/sidebar.html?src=ssb
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://softwarereferral.com/jump.php?wmid=6010&mid=MjI6Ojg5&lid=2
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://search.bearshare.com/sidebar.html?src=ssb
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://g.msn.de/0SEDEDE/SAOS01?FORM=TOOLBR
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Windows Live Toolbar Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\Windows Live Toolbar\msntb.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\Windows Live Toolbar\msntb.dll
O4 - HKLM\..\Run: [ICQ Lite] "C:\Programme\ICQLite\ICQLite.exe" -minimize
O4 - HKLM\..\Run: [AVP] "C:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe"
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Programme\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [IncrediMail] F:\Chat\INCRED~1\bin\IncMail.exe /c
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\RunOnce: [TSClientMSIUninstaller] cmd.exe /C "cscript %systemroot%\Installer\TSClientMsiTrans\tscuinst.vbs" (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-20\..\RunOnce: [TSClientMSIUninstaller] cmd.exe /C "cscript %systemroot%\Installer\TSClientMsiTrans\tscuinst.vbs" (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [TSClientMSIUninstaller] cmd.exe /C "cscript %systemroot%\Installer\TSClientMsiTrans\tscuinst.vbs" (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [TSClientMSIUninstaller] cmd.exe /C "cscript %systemroot%\Installer\TSClientMsiTrans\tscuinst.vbs" (User 'Default user')
O8 - Extra context menu item: &Windows Live Search - res://C:\Programme\Windows Live Toolbar\msntb.dll/search.htm
O8 - Extra context menu item: Hinzufügen zu Kaspersky Anti-Banner - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\ie_banner_deny.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra button: Statistik für Web-Anti-Virus - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\SCIEPlgn.dll
O9 - Extra button: (no name) - {2D663D1A-8670-49D9-A1A5-4C56B4E14E84} - (no file)
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe (file missing)
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O20 - AppInit_DLLs: C:\PROGRA~1\KASPER~1\KASPER~1.0\adialhk.dll
O21 - SSODL: system32 - {856990A0-9F00-4642-819D-36DF836ADB47} - sysprinters.dll (file missing)
O21 - SSODL: wmpenv - {951B3813-4BE0-488F-B46A-D8F99AA66509} - C:\WINDOWS\wmpenv.dll
O21 - SSODL: wmpconf - {D7B27D62-F570-437E-9C00-58DE9AA1A9FB} - C:\WINDOWS\wmpconf.dll
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Programme\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: Kaspersky Internet Security 7.0 (AVP) - Kaspersky Lab - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe
O24 - Desktop Component 0: (no name) - file:///C:/WINDOWS/privacy_danger/images/spacer.gif

--
End of file - 7077 bytes


war das so jetzt richtig...?

dani2112 27.08.2007 18:55

Kannst du bitte folgende Dateien:

C:\WINDOWS\wmpenv.dll

und

C:\WINDOWS\wmpconf.dll

bei Virustotal
auswerten lassen und das Ergebnis anschließend hier Posten (Mit Dateigröße und Hash usw.)

Hattest du den MSN Virus?
Wegen:

O21 - SSODL: system32 - {856990A0-9F00-4642-819D-36DF836ADB47} - sysprinters.dll (file missing)

Hast du Entfernungsversuche deswegen unternommen?

c_C_c 27.08.2007 18:55

ich hoffe ihr könnt damit was anfangen....:confused:

c_C_c 27.08.2007 19:11

ich schreib einfach mal alles hin was da stand...weil ich mich echt nich so auskenne! hihi

für wmpenv.dll :

Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2007.8.28.0 2007.08.27 -
AntiVir 7.4.1.63 2007.08.27 -
Authentium 4.93.8 2007.08.26 -
Avast 4.7.1029.0 2007.08.27 -
AVG 7.5.0.484 2007.08.27 Clicker.HYY
BitDefender 7.2 2007.08.27 -
CAT-QuickHeal 9.00 2007.08.25 -
ClamAV 0.91 2007.08.27 -
DrWeb 4.33 2007.08.27 -
eSafe 7.0.15.0 2007.08.26 -
eTrust-Vet 31.1.5088 2007.08.27 -
Ewido 4.0 2007.08.27 -
FileAdvisor 1 2007.08.27 -
Fortinet 2.91.0.0 2007.08.27 Adware/AdClicker
F-Prot 4.3.2.48 2007.08.26 -
F-Secure 6.70.13030.0 2007.08.27 -
Ikarus T3.1.1.12 2007.08.27 Application.Win32.AdWare.Agent.NAR
Kaspersky 4.0.2.24 2007.08.27 -
McAfee 5106 2007.08.27 AdClicker-FC
Microsoft 1.2803 2007.08.27 Trojan:Win32/Agent.gen!L
NOD32v2 2486 2007.08.27 Win32/Adware.Agent.NAR
Norman 5.80.02 2007.08.27 -
Panda 9.0.0.4 2007.08.27 Suspicious file
Prevx1 V2 2007.08.27 Trojan.SystemPoser
Rising 19.38.02.00 2007.08.27 -
Sophos 4.21.0 2007.08.27 -
Sunbelt 2.2.907.0 2007.08.25 Trojan.NewMediaCodec
Symantec 10 2007.08.27 Trojan Horse
TheHacker 6.1.9.173 2007.08.27 -
VBA32 3.12.2.3 2007.08.27 Application.Win32.Adware.Agent.NAR
VirusBuster 4.3.26:9 2007.08.27 -
Webwasher-Gateway 6.0.1 2007.08.27 Win32.NewMalware.UA!188416
weitere Informationen
File size: 188416 bytes
MD5: 6493da23658498d9dcc7dc891b37184d
SHA1: 4e9ebc9ad02104977c969c8a950f35f0e8384df3
Prevx info: http://fileinfo.prevx.com/fileinfo.asp?PX5=6E8A9C5C000BD3E4E084027762666D0063F07D18

für wmpconf.dll :

AhnLab-V3 2007.8.28.0 2007.08.27 -
AntiVir 7.4.1.63 2007.08.27 -
Authentium 4.93.8 2007.08.26 -
Avast 4.7.1029.0 2007.08.27 -
AVG 7.5.0.484 2007.08.27 Adware Generic2.JGP
BitDefender 7.2 2007.08.27 -
CAT-QuickHeal 9.00 2007.08.25 Trojan.Fakealert.Gen
ClamAV 0.91 2007.08.27 -
DrWeb 4.33 2007.08.27 Trojan.Fakealert.307
eSafe 7.0.15.0 2007.08.26 -
eTrust-Vet 31.1.5088 2007.08.27 -
Ewido 4.0 2007.08.27 -
FileAdvisor 1 2007.08.27 -
Fortinet 2.91.0.0 2007.08.27 Misc/Ultimate
F-Prot 4.3.2.48 2007.08.26 -
F-Secure 6.70.13030.0 2007.08.27 -
Ikarus T3.1.1.12 2007.08.27 Application.Win32.AdWare.Agent.NAR
Kaspersky 4.0.2.24 2007.08.27 -
McAfee 5106 2007.08.27 potentially unwanted program Ultimate
Microsoft 1.2803 2007.08.27 TrojanDownloader:Win32/Zlob.gen!L
NOD32v2 2486 2007.08.27 Win32/Adware.Agent.NAR
Norman 5.80.02 2007.08.27 -
Panda 9.0.0.4 2007.08.27 Adware/VideoPlugin
Prevx1 V2 2007.08.27 Generic.Malware
Rising 19.38.02.00 2007.08.27 -
Sophos 4.21.0 2007.08.27 -
Sunbelt 2.2.907.0 2007.08.25 Trojan.NewMediaCodec
Symantec 10 2007.08.27 -
TheHacker 6.1.9.173 2007.08.27 -
VBA32 3.12.2.3 2007.08.27 Application.Win32.Adware.Agent.NAR
VirusBuster 4.3.26:9 2007.08.27 -
Webwasher-Gateway 6.0.1 2007.08.27 -
weitere Informationen
File size: 221184 bytes
MD5: 35dda5bcfef152874bf0efb4db0fb219
SHA1: ba0f6f285caeb0f1d1b5397e8c33be492ebea697
Prevx info: http://fileinfo.prevx.com/fileinfo.asp?PX5=1997D112008BE0A6602203BB8A82BA00E677919C

dani2112 27.08.2007 19:15

Da du den MSN Virus offensichtlich hattest (und dir nichtmal sicher bist ob) MÜSSEN wir die Sache leider abkürzen um einen vertrauenswürdigen Zustand des Systems wiederherzustellen.
Du musst dein System leider Neuaufsetzen.
Gehe dabei nach dieser Anleitung vor:

Anleitung Neuaufsetzen des Systems und anschliessende Absicherung

Dieses hat in keinster Weise was mit der Adware die du dir eingefangen hast zu tun.
Diese könnte man entfernen aber bei dir war/ist leider ein Backdoor aktiv.

c_C_c 27.08.2007 19:20

bedeutet neu aufsetzen dass ich ALLEs löschen muss um windows dann neu zu installieren??

dani2112 27.08.2007 19:42

Ja genau du kannst selbstverständlich Daten sichern (habe dir ja schon alles geschrieben woanders)...


Alle Zeitangaben in WEZ +1. Es ist jetzt 05:44 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131