Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   Desktop: Warning! Spyware detected on your Computer! (https://www.trojaner-board.de/57673-desktop-warning-spyware-detected-on-your-computer.html)

chilled.kr0eTe 11.08.2008 15:15
Desktop: Warning! Spyware detected on your Computer!
 
Hallo alle,

Hatte einen blauen Hintergrund mit dem besagten Text auf dem Desktop nachdem ich ein angebliches Codec installieren wollte.
Antivir hat das installierte Codec als Virus mit dem Namen DR\FraudTool.Agent.AU erkannt. Habe dann Luke Filewalker drüberlaufen lassen und er hat 3 Dateien entfernt, dann habe ich den PC neugestartet. Zwischendurch auch noch viel gelesen dass dieser Virus gefährlich wäre und dass er auch was an der Registry ändert.
Der Desktophintergrund war immer noch da, hab den dann manuell geändert, nochmal neugestartet und alles sieht wieder so aus wie vorher.

Ist mein PC jetzt virenfrei? Wenn der Virus Registry Einträge verändert hat, kann man das dann am HJT-File erkennen?
Habe selbst erst einmal so ein HiJack LogFile erstellt, wäre aber wahrscheinlich nicht das Problem.

Ich weiß zwar nicht ob es hilft, aber ich füge noch mein AntiVir-Report mit an.
Danke für Hilfe!

Sunny 11.08.2008 15:34
Hallo chilled.kr0eTe und

http://www.mysmilie.de/generator/ablage/156/257.png


Anleitung SmitfraudFix:

Lade dir dieses Tool -> SmitfraudFix
  • Starte das Programm im abgesicherten Modus dann und lass das System dort durchsuchen. (Option 2)
  • Poste danach wie in der Anleitung beschrieben, das Ergebnis des Scans



Erstellung eines Hijacklog

chilled.kr0eTe 18.08.2008 19:57
So habe mir die beiden Programme

SmitfraudFix und HiJack

runtergeladen.

Danach Windows im abgesicherten Modus gestartet (beim Hochfahren F8 gedrückt), dann musste ich auswählen zwischen meinem account und dem account "Administrator". "Administrator"-Konto konnte ich allerdings nicht anwählen da ich nie ein PW dafür angelegt habe, deswegen bin ich davon ausgegangen dass mein eigenes Konto ebenfalls Admin-Rechte besitzt.

Als ich dann auf dem Desktop war habe ich zunächst Option 2 von SmitfraudFix gewählt, und auf die anschließende Frage ob die Registry gesäubert werden soll, mit "y" geantwortet.

Ich weiß zwar nich ob ihr das rapport.txt auch braucht, aber ich hänge es einfach mal mit an.

Im Anschluß daran habe ich HiJack laufen lassen, dies ist die andere .txt datei!

Anschließend habe ich den Rechner im normalen Modus neugestartet, und poste jetzt hier: Außerdem ist nach dem Neustart mein vorher festgelegter Desktophintergrund gewichen und hat dem Standard-Blau von Windows als Hintergrundbildfarbe Platz gemacht.
Kommt das wegen dem ganzen vorherigen Gedöhns mit abgesicherten Modus und so?

Vielen Dank für eure Hilfe!

chilled.kr0eTe 19.08.2008 19:12
Sorry für Doppelpost, aber ich wäre echt froh wenn mir jemand helfen würde, trau mich nicht mal mehr meine emails zu lesen weil ich angst hab das dann mein pw geklaut wird :(

Silent sharK 19.08.2008 19:16
So, ich spring mal ein. ;)

Hier weitere Schritte:

1.)
MalwareBytes Anti-Malware:
  • Lade dir MalwareBytes Anti-Malware
  • Folge den Anweisungen der Anleitung und poste das Logfile

2.)
SUPERAntiSpyware:
  • Lade dir SUPERAntiSpyware und installiere es
  • Folge den Anweisungen und poste das entstandene Logfile

chilled.kr0eTe 28.08.2008 20:17
hallo leute,
ich weiß zwar nicht warum der poster über mir gesperrt wurde, aber ich habe seinen anweisungen gefolgt und folgendes kam dabei raus - im anhang das log von malware als auch das von superantispyware!

bitte um erklärung der log´s, ist mein pc noch befallen?
mfg

chilled.kr0eTe 01.09.2008 19:49
hallo leute,
bitte entschuldigt den erneuten doppelpost, aber ich habe alles so gemacht wie es mir gesagt wurde aber ich weiß halt immer noch nicht wies nun aussieht. vielleicht kann mir jemand anders helfen, denn der mir den letzten tipp gegeben hatte wurde gesperrt :(
mfg,
chilled.kr0ete

chilled.kr0eTe 05.09.2008 13:27
:schmoll::schmoll::schmoll::schmoll::schmoll::schmoll:

Sunny 05.09.2008 13:33
Sorry, du scheinst hier irgendwie untergegangen zu sein. :schmoll:


Hast du denn überhaupt noch Probleme mit dem System?
Poste doch bitte nochmal ein neues Hijacklog, ich will sehen ob sich da noch etwas finden lässt..


Erstellung eines Hijacklog

chilled.kr0eTe 05.09.2008 13:41
Hier nochmal mein aktuelles High-Jack-Log nach allen durchgeführten Aktionen:
Code:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 14:40:01, on 05.09.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16705)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\ibmpmsvc.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Andi\AntiVir\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Andi\AntiVir\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Programme\Bonjour\mDNSResponder.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\tp4mon.exe
C:\Andi\WLAN Karte\D-Link AirPlus G\AirGCFG.exe
C:\Programme\ANI\ANIWZCS2 Service\WZCSLDR2.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\iPod\bin\iPodService.exe
C:\Andi\AntiVir\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\SUPERAntiSpyware\SUPERAntiSpyware.exe
C:\WINDOWS\system32\taskmgr.exe
C:\Programme\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O4 - HKLM\..\Run: [TrackPointSrv] tp4mon.exe
O4 - HKLM\..\Run: [D-Link AirPlus G] C:\Andi\WLAN Karte\D-Link AirPlus G\AirGCFG.exe
O4 - HKLM\..\Run: [ANIWZCS2Service] C:\Programme\ANI\ANIWZCS2 Service\WZCSLDR2.exe
O4 - HKLM\..\Run: [avgnt] "C:\Andi\AntiVir\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Andi\Adobe\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [RocketDock] "C:\Andi\RocketDock\RocketDock.exe"
O4 - HKCU\..\Run: [SUPERAntiSpyware] C:\Programme\SUPERAntiSpyware\SUPERAntiSpyware.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Andi\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Andi\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O20 - Winlogon Notify: !SASWinLogon - C:\Programme\SUPERAntiSpyware\SASWINLO.DLL
O23 - Service: ANIWZCSd Service (ANIWZCSdService) - Alpha Networks Inc. - C:\Programme\ANI\ANIWZCS2 Service\ANIWZCSdS.exe
O23 - Service: Avira AntiVir Personal – Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Andi\AntiVir\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal – Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Andi\AntiVir\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Bonjour-Dienst (Bonjour Service) - Apple Inc. - C:\Programme\Bonjour\mDNSResponder.exe
O23 - Service: IBM PM Service (IBMPMSVC) - Unknown owner - C:\WINDOWS\system32\ibmpmsvc.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe

--
End of file - 4569 bytes
Thanks, Sunny!

Sunny 05.09.2008 13:47
Das Logfile sieht gut aus... :daumenhoc

Gibt es denn sonst noch Probleme mit dem System welche du noch hast?

chilled.kr0eTe 05.09.2008 14:12
nope! dann ist ja alles klar. vielen dank für deine hilfe!!

Sunny 05.09.2008 14:13
Frohes surfen... :taenzer:


Alle Zeitangaben in WEZ +1. Es ist jetzt 14:31 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55