Spyware Problem !!! versch. Methoden hilflos

Dieses Thema im Forum "Sicherheit" wurde erstellt von Stylez, 13. November 2005.

Status des Themas:
Es sind keine weiteren Antworten möglich.
  1. Stylez

    Stylez Byte

    Registriert seit:
    13. November 2005
    Beiträge:
    14
    Hey,
    Ich weiß nicht wie genau das passiert ist, aber als ich mein PC neugestartet hab (win xp proff.) ist unten rechts immer n "virus alert!" aufgegangen. Wenn ich versuch des zuschließen öffnet sich ein popup für z.b. spyaxe, wobei man da was zahlen msus wenn man des progg benutzen will, also hilflose werbung.
    "Your computer is infected
    windows has detected spyware infection"
    Wurde hier öfters schon gepostet, hat mir aber nicht geholfen.
    Antiviren progamme wie antivir xp, spybot, ewido, ad-aware, pestpatrol, trend micro anti-spyware,hijackthis (log) und spyware doctor hab ich durchlaufen lassen.Die haben zwar manchmal n virus angezeigt,der wurd auch gelöscht, aber die meldung unten rechts is nie verschwunden auch nicht nach nem neustart. Eine sicherheits cd von c´t hab ich auch ausprobiert, die hat aber kein virus bzw spyware gefunden.

    Hier is mal ein log-bild von diesem hijackthis.
    1.teil.
    http://www.directupload.net/show/d/515/g6xamA7W.jpg

    2.teil.
    http://www.directupload.net/show/d/515/u46ETh3w.jpg

    Ich weiß nicht was ich da noch tun kann...ich hoff ihr könnt mir helfen !!
    liebe grüße
     
  2. Wolfgang77

    Wolfgang77 Ganzes Gigabyte

    Registriert seit:
    1. Oktober 2002
    Beiträge:
    20.804
  3. Jasager

    Jasager Viertel Gigabyte

    Registriert seit:
    6. Dezember 2004
    Beiträge:
    2.642
    Hallo,
    *augenverdreh* Verdammt Spyaxe.
    Poste erstmal das HijackThis Log wie hier beschrieben. Dann besorgst du dir dieses Tool, entpackst es in einen eigenen Ordner und läßt es im abgesicherten Modus (F8 beim booten) laufen. Dann postest du auch den Inhalt der C:\smitfiles.txt



    Grüße Jasager
     
  4. Stylez

    Stylez Byte

    Registriert seit:
    13. November 2005
    Beiträge:
    14
  5. Jasager

    Jasager Viertel Gigabyte

    Registriert seit:
    6. Dezember 2004
    Beiträge:
    2.642
    *erledigt*
     
  6. Stylez

    Stylez Byte

    Registriert seit:
    13. November 2005
    Beiträge:
    14
    danke.....
    das mit dem smitrem hab ich nich so kapiert.
    Habs in ein neuen ordner extrahiert,..da sind nun 5 datein.
    Und hab s in einem absgesicherten modus geöffnet. aber ich weiß jetzt nicht genau was da passiert ist.
    und was muss ich jetzt machen
     
  7. Jasager

    Jasager Viertel Gigabyte

    Registriert seit:
    6. Dezember 2004
    Beiträge:
    2.642
    Hallo,
    hätte es vielleicht etwas ausführlicher beschreiben sollen. In dem Ordner sollst du die Runthis.bat doppelklicken, dfann den Anweisungen auf dem Bildschirm folgen.


    Grüße Jasager
     
  8. Stylez

    Stylez Byte

    Registriert seit:
    13. November 2005
    Beiträge:
    14
    smitRem © log file
    version 2.7

    by noahdfear


    Microsoft Windows XP [Version 5.1.2600]

    ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

    checking for ShudderLTD key

    ShudderLTD key not present!

    checking for PSGuard.com key


    PSGuard.com key not present!

    ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

    Existing Pre-run Files


    ~~~ Program Files ~~~



    ~~~ Shortcuts ~~~



    ~~~ Favorites ~~~



    ~~~ system32 folder ~~~

    msvol.tlb
    ncompat.tlb
    nvctrl.exe


    ~~~ Icons in System32 ~~~

    ts.ico
    ot.ico


    ~~~ Windows directory ~~~



    ~~~ Drive root ~~~


    ~~~ Miscellaneous Files/folders ~~~




    ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~



    Remaining Post-run Files


    ~~~ Program Files ~~~



    ~~~ Shortcuts ~~~



    ~~~ Favorites ~~~



    ~~~ system32 folder ~~~



    ~~~ Icons in System32 ~~~



    ~~~ Windows directory ~~~



    ~~~ Drive root ~~~



    ~~~ Miscellaneous Files/folders ~~~




    ~~~ Wininet.dll ~~~

    CLEAN! :)


    ~~~ Upon reboot ~~~

    wininet.old not present!
    oleadm.dll not present!
    oleext.dll not present!


    ~~~ Upon completion ~~~

    wininet.old not present!
    oleadm.dll not present!
    oleext.dll not present!


    ~~~~ Rechecking C:\WINDOWS\system32\wininet.dll for infection ~~~~


    ~~~~ C:\WINDOWS\system32\wininet.dll Clean! :) ~~~~


    ~~~~ Looking for C:\WINDOWS\system32\dllcache\wininet.dll ~~~~


    ~~~~ C:\WINDOWS\system32\dllcache\wininet.dll Present! ~~~~


    ~~~~ Checking dllcache\wininet.dll for infection ~~~~


    ~~~~ dllcache\wininet.dll Clean! ~~~~

    ~~~ Replaced wininet.dll from dllcache ~~~
     
  9. Jasager

    Jasager Viertel Gigabyte

    Registriert seit:
    6. Dezember 2004
    Beiträge:
    2.642
    Hallo,
    Scanne dein System mal mit Escan (Anleitung sorgfältig lesen!) und poste das Log wie in der Anleitung beschrieben (find.bat). Hast du zufällig folgende Dateien/Ordner auf deinem System (Dateien richtig suchen):
    C:\WINDOWS\system32\1024
    C:\WINDOWS\system32\svchosts.dll


    Grüße Jasager
     
  10. Stylez

    Stylez Byte

    Registriert seit:
    13. November 2005
    Beiträge:
    14
    log kommt gleich....

    der ordner 1024 ist in system 23 vorhanden
    svchosts.dll ist in system32 vorhanden
     
  11. Stylez

    Stylez Byte

    Registriert seit:
    13. November 2005
    Beiträge:
    14
    hat zwar lang gedauert aber ich hoff es lohnt sich

    ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
    Funde für "infected"
    ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
    Sun Nov 13 18:00:12 2005 => System found infected with whenu.savenow Spyware/Adware (common[1].js)! Action taken: No Action Taken.
    Sun Nov 13 18:00:12 2005 => System found infected with whenu.savenow Spyware/Adware (adswrapper[1].js)! Action taken: No Action Taken.
    Sun Nov 13 18:00:12 2005 => System found infected with whenu.savenow Spyware/Adware (common[1].js)! Action taken: No Action Taken.
    Sun Nov 13 18:00:12 2005 => System found infected with whenu.savenow Spyware/Adware (common[1].js)! Action taken: No Action Taken.
    Sun Nov 13 18:00:12 2005 => System found infected with whenu.savenow Spyware/Adware (adsend[1].js)! Action taken: No Action Taken.
    Sun Nov 13 18:00:12 2005 => System found infected with whenu.savenow Spyware/Adware (common[1].js)! Action taken: No Action Taken.
    Sun Nov 13 18:00:12 2005 => System found infected with whenu.savenow Spyware/Adware (adswrapper[1].js)! Action taken: No Action Taken.
    Sun Nov 13 18:00:12 2005 => System found infected with whenu.savenow Spyware/Adware (common[1].js)! Action taken: No Action Taken.
    Sun Nov 13 18:00:12 2005 => System found infected with whenu.savenow Spyware/Adware (common[1].js)! Action taken: No Action Taken.
    Sun Nov 13 18:00:12 2005 => System found infected with whenu.savenow Spyware/Adware (adsend[1].js)! Action taken: No Action Taken.
    Sun Nov 13 18:05:01 2005 => Scanning Folder: C:\Programme\AVPersonal\INFECTED\*.*
    Sun Nov 13 18:35:02 2005 => Total Disinfected Files: 0
    ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
    Funde für "tagged"
    ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
    ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
    Funde für "offending"
    ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
    Sun Nov 13 17:59:51 2005 => Offending Folder found: C:\Programme\limewire
    Sun Nov 13 18:00:11 2005 => Offending Folder found: C:\Dokumente und Einstellungen\Martin\Startmenü\programme\limewire
    Sun Nov 13 18:00:12 2005 => Offending Folder found: C:\Dokumente und Einstellungen\Martin\Startmenü\Programme\limewire
    Sun Nov 13 18:00:12 2005 => Offending file found: C:\Dokumente und Einstellungen\Martin\Lokale Einstellungen\temporary internet files\content.ie5\89abcdef\common[1].js
    Sun Nov 13 18:00:12 2005 => Offending file found: C:\Dokumente und Einstellungen\Martin\Lokale Einstellungen\temporary internet files\content.ie5\fopt302o\adswrapper[1].js
    Sun Nov 13 18:00:12 2005 => Offending file found: C:\Dokumente und Einstellungen\Martin\Lokale Einstellungen\temporary internet files\content.ie5\fopt302o\common[1].js
    Sun Nov 13 18:00:12 2005 => Offending file found: C:\Dokumente und Einstellungen\Martin\Lokale Einstellungen\temporary internet files\content.ie5\ijk34567\common[1].js
    Sun Nov 13 18:00:12 2005 => Offending file found: C:\Dokumente und Einstellungen\Martin\Lokale Einstellungen\temporary internet files\content.ie5\k7qxa1k3\adsend[1].js
    Sun Nov 13 18:00:12 2005 => Offending file found: C:\Dokumente und Einstellungen\Martin\Lokale Einstellungen\Temporary Internet Files\content.ie5\89abcdef\common[1].js
    Sun Nov 13 18:00:12 2005 => Offending file found: C:\Dokumente und Einstellungen\Martin\Lokale Einstellungen\Temporary Internet Files\content.ie5\fopt302o\adswrapper[1].js
    Sun Nov 13 18:00:12 2005 => Offending file found: C:\Dokumente und Einstellungen\Martin\Lokale Einstellungen\Temporary Internet Files\content.ie5\fopt302o\common[1].js
    Sun Nov 13 18:00:12 2005 => Offending file found: C:\Dokumente und Einstellungen\Martin\Lokale Einstellungen\Temporary Internet Files\content.ie5\ijk34567\common[1].js
    Sun Nov 13 18:00:12 2005 => Offending file found: C:\Dokumente und Einstellungen\Martin\Lokale Einstellungen\Temporary Internet Files\content.ie5\k7qxa1k3\adsend[1].js
    ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
    Statistiken:
    ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
    Sun Nov 13 18:35:02 2005 => Total Virus(es) Found: 13
    Sun Nov 13 18:35:02 2005 => Total Errors: 82
    Sun Nov 13 18:35:02 2005 => Time Elapsed: 00:35:50
    Sun Nov 13 18:35:02 2005 => Total Objects Scanned: 39084
    Sun Nov 13 17:58:30 2005 => Virus Database Date: 2005/11/11
    Sun Nov 13 18:35:02 2005 => Virus Database Date: 2005/11/11
    Sun Nov 13 18:36:03 2005 => Virus Database Date: 2005/11/11
    ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
    ~~~~~~~ © Haui ;-) ~~~~~~~
    ~~~~~~~ Dank an Cidre ~~~~~~~
     
  12. Stylez

    Stylez Byte

    Registriert seit:
    13. November 2005
    Beiträge:
    14
    hat lang gedauert aber lohnt sich , hoff ich

    ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
    Funde für "infected"
    ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
    Sun Nov 13 18:00:12 2005 => System found infected with whenu.savenow Spyware/Adware (common[1].js)! Action taken: No Action Taken.
    Sun Nov 13 18:00:12 2005 => System found infected with whenu.savenow Spyware/Adware (adswrapper[1].js)! Action taken: No Action Taken.
    Sun Nov 13 18:00:12 2005 => System found infected with whenu.savenow Spyware/Adware (common[1].js)! Action taken: No Action Taken.
    Sun Nov 13 18:00:12 2005 => System found infected with whenu.savenow Spyware/Adware (common[1].js)! Action taken: No Action Taken.
    Sun Nov 13 18:00:12 2005 => System found infected with whenu.savenow Spyware/Adware (adsend[1].js)! Action taken: No Action Taken.
    Sun Nov 13 18:00:12 2005 => System found infected with whenu.savenow Spyware/Adware (common[1].js)! Action taken: No Action Taken.
    Sun Nov 13 18:00:12 2005 => System found infected with whenu.savenow Spyware/Adware (adswrapper[1].js)! Action taken: No Action Taken.
    Sun Nov 13 18:00:12 2005 => System found infected with whenu.savenow Spyware/Adware (common[1].js)! Action taken: No Action Taken.
    Sun Nov 13 18:00:12 2005 => System found infected with whenu.savenow Spyware/Adware (common[1].js)! Action taken: No Action Taken.
    Sun Nov 13 18:00:12 2005 => System found infected with whenu.savenow Spyware/Adware (adsend[1].js)! Action taken: No Action Taken.
    Sun Nov 13 18:05:01 2005 => Scanning Folder: C:\Programme\AVPersonal\INFECTED\*.*
    Sun Nov 13 18:35:02 2005 => Total Disinfected Files: 0
    ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
    Funde für "tagged"
    ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
    ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
    Funde für "offending"
    ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
    Sun Nov 13 17:59:51 2005 => Offending Folder found: C:\Programme\limewire
    Sun Nov 13 18:00:11 2005 => Offending Folder found: C:\Dokumente und Einstellungen\Martin\Startmenü\programme\limewire
    Sun Nov 13 18:00:12 2005 => Offending Folder found: C:\Dokumente und Einstellungen\Martin\Startmenü\Programme\limewire
    Sun Nov 13 18:00:12 2005 => Offending file found: C:\Dokumente und Einstellungen\Martin\Lokale Einstellungen\temporary internet files\content.ie5\89abcdef\common[1].js
    Sun Nov 13 18:00:12 2005 => Offending file found: C:\Dokumente und Einstellungen\Martin\Lokale Einstellungen\temporary internet files\content.ie5\fopt302o\adswrapper[1].js
    Sun Nov 13 18:00:12 2005 => Offending file found: C:\Dokumente und Einstellungen\Martin\Lokale Einstellungen\temporary internet files\content.ie5\fopt302o\common[1].js
    Sun Nov 13 18:00:12 2005 => Offending file found: C:\Dokumente und Einstellungen\Martin\Lokale Einstellungen\temporary internet files\content.ie5\ijk34567\common[1].js
    Sun Nov 13 18:00:12 2005 => Offending file found: C:\Dokumente und Einstellungen\Martin\Lokale Einstellungen\temporary internet files\content.ie5\k7qxa1k3\adsend[1].js
    Sun Nov 13 18:00:12 2005 => Offending file found: C:\Dokumente und Einstellungen\Martin\Lokale Einstellungen\Temporary Internet Files\content.ie5\89abcdef\common[1].js
    Sun Nov 13 18:00:12 2005 => Offending file found: C:\Dokumente und Einstellungen\Martin\Lokale Einstellungen\Temporary Internet Files\content.ie5\fopt302o\adswrapper[1].js
    Sun Nov 13 18:00:12 2005 => Offending file found: C:\Dokumente und Einstellungen\Martin\Lokale Einstellungen\Temporary Internet Files\content.ie5\fopt302o\common[1].js
    Sun Nov 13 18:00:12 2005 => Offending file found: C:\Dokumente und Einstellungen\Martin\Lokale Einstellungen\Temporary Internet Files\content.ie5\ijk34567\common[1].js
    Sun Nov 13 18:00:12 2005 => Offending file found: C:\Dokumente und Einstellungen\Martin\Lokale Einstellungen\Temporary Internet Files\content.ie5\k7qxa1k3\adsend[1].js
    ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
    Statistiken:
    ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
    Sun Nov 13 18:35:02 2005 => Total Virus(es) Found: 13
    Sun Nov 13 18:35:02 2005 => Total Errors: 82
    Sun Nov 13 18:35:02 2005 => Time Elapsed: 00:35:50
    Sun Nov 13 18:35:02 2005 => Total Objects Scanned: 39084
    Sun Nov 13 17:58:30 2005 => Virus Database Date: 2005/11/11
    Sun Nov 13 18:35:02 2005 => Virus Database Date: 2005/11/11
    Sun Nov 13 18:36:03 2005 => Virus Database Date: 2005/11/11
    ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
    ~~~~~~~ © Haui ;-) ~~~~~~~
    ~~~~~~~ Dank an Cidre ~~~~~~~
     
  13. Wolfgang77

    Wolfgang77 Ganzes Gigabyte

    Registriert seit:
    1. Oktober 2002
    Beiträge:
    20.804
    Hallo,

    wäre nicht schlecht wenn du einmal deine "temporary internet files" löschst... im IE gibt es da einen Menüpunkt.

    Was mir auch noch aufgefallen ist, dein System ist völlig veraltet... IE, das SP2 für XP fehlt.

    Wolfgang77
     
  14. Stylez

    Stylez Byte

    Registriert seit:
    13. November 2005
    Beiträge:
    14
    Ja,....die temporary internet files, hab ich scho gelöscht gehabt..teilweise.
    Ich habs heut nochmal probiert des SP2 draufzuinstalliern des geht aber irgendwie nicht, da kommt ne fehlermeldung.

    ps: sry wegen doppel posting
     
  15. Jasager

    Jasager Viertel Gigabyte

    Registriert seit:
    6. Dezember 2004
    Beiträge:
    2.642
    Hallo,
    leider eher nicht, das was Escan da anzeigt ist alles harmlos und hat nichts mit deinem Problem zu tun:
    Lösche mal diese Datei im abgesicherten Modus:
    C:\WINDOWS\system32\svchosts.dll (genau auf die Schreibweise achten)
    und den Ordner
    C:\WINDOWS\system32\1024
    schau auch mal ob sich im Ordner System32 eine svchosts.exe befindet.


    Grüße Jasager
     
  16. Stylez

    Stylez Byte

    Registriert seit:
    13. November 2005
    Beiträge:
    14
    svchosts.dll lässt sich nicht im abgesicherten modus löschen...die wird grad verwendet steht da...verschieben kann man sie aber

    1024, dadrin befindet sich nur 1 ne datei ld9C4B.tmp
    hab mal noch nichts gelöscht
     
  17. TheD0CT0R

    TheD0CT0R Dr. h.c. Mod

    Registriert seit:
    2. Dezember 2003
    Beiträge:
    17.262
    Ist der Wortlaut dieser Fehlermeldung ein Geheimnis? :rolleyes:
     
  18. Jasager

    Jasager Viertel Gigabyte

    Registriert seit:
    6. Dezember 2004
    Beiträge:
    2.642
    Hallo,
    verwende das Programm Killbox zum löschen (mit der Option delete file on reboot
    bzw. bei dem Ordner mit deltree on reboot).


    Grüße Jasager
     
  19. Stylez

    Stylez Byte

    Registriert seit:
    13. November 2005
    Beiträge:
    14
    hehe, ne eigentlich nicht.
    aber kann dir des jetzt nicht genau sagen. Lern des ja nicht auswendig :-)
     
  20. TheD0CT0R

    TheD0CT0R Dr. h.c. Mod

    Registriert seit:
    2. Dezember 2003
    Beiträge:
    17.262
    Musst du ja auch net...
    [​IMG]

    ;) :D


    Geht auch mit HijackThis.
     
Status des Themas:
Es sind keine weiteren Antworten möglich.

Diese Seite empfehlen