Adaware gibt mir immer wieder die selbe Spy-Datei, trotz löschen...

#0
22.08.2005, 03:16
...neu hier

Beiträge: 6
#1 Hallo zusammen!

Ich hab ein Problem, und zwar folgendes...

Ich habe mit Ad Aware einen Suchlauf durchgeführt. Dabei hat er einen verdächtigen Registry Value entdeckt.

HKEY_CLASSES_ROOT:regfile\shell\open\command ("regedit.exe" "%1")

mit der Meldung: Possible virus infection, REG file extension compromised.

Hoffentlich kann mir jemand weiterhelfen.

Vielen Dank für eure Hilfe...

P.S.:

Hier noch ein Log von Hijack This:

Logfile of HijackThis v1.99.1
Scan saved at 02:59:29, on 22.08.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
F:\WINDOWS\System32\smss.exe
F:\WINDOWS\system32\winlogon.exe
F:\WINDOWS\system32\services.exe
F:\WINDOWS\system32\lsass.exe
F:\WINDOWS\system32\svchost.exe
F:\WINDOWS\System32\svchost.exe
F:\WINDOWS\system32\spoolsv.exe
F:\PROGRA~1\F-SECU~1\backweb\4476822\Program\SERVIC~1.EXE
F:\Programme\F-Secure Internet Security\Anti-Virus\fsgk32st.exe
F:\Programme\Firebird\Firebird_1_5\bin\fbguard.exe
F:\Programme\F-Secure Internet Security\Anti-Virus\FSGK32.EXE
F:\Programme\F-Secure Internet Security\backweb\4476822\program\fsbwsys.exe
F:\Programme\F-Secure Internet Security\Anti-Virus\fssm32.exe
F:\Programme\F-Secure Internet Security\Common\FSMA32.EXE
F:\WINDOWS\system32\nvsvc32.exe
F:\Programme\F-Secure Internet Security\Common\FSMB32.EXE
F:\WINDOWS\system32\svchost.exe
F:\Programme\WZCBDL Service\WZCBDLS.exe
F:\Programme\F-Secure Internet Security\Common\FCH32.EXE
F:\Programme\F-Secure Internet Security\Common\FAMEH32.EXE
F:\Programme\F-Secure Internet Security\FSPC\fspc.exe
F:\Programme\Firebird\Firebird_1_5\bin\fbserver.exe
F:\Programme\F-Secure Internet Security\FWES\Program\fsdfwd.exe
F:\Programme\F-Secure Internet Security\Anti-Virus\fsav32.exe
F:\WINDOWS\Explorer.EXE
F:\Programme\F-Secure Internet Security\Common\FSM32.EXE
F:\Programme\D-Link\Air USB Utility\AirCFG.exe
F:\Programme\T-DSL SpeedManager\SpeedMgr.exe
F:\Programme\Telekom\Eumex 404PC\Capictrl.exe
F:\Programme\F-Secure Internet Security\backweb\4476822\Program\fspex.exe
F:\Programme\F-Secure Internet Security\FSGUI\fsguiexe.exe
F:\Programme\T-DSL SpeedManager\tsmsvc.exe
F:\Programme\F-Secure Internet Security\Anti-Spyware\Anti-Spyware.exe
F:\Dokumente und Einstellungen\SchoolOfRock\Desktop\hijackthis_1991\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://welcome.icq.com/js/ppfile.html?0
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - F:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O4 - HKLM\..\Run: [F-Secure Manager] "F:\Programme\F-Secure Internet Security\Common\FSM32.EXE" /splash
O4 - HKLM\..\Run: [F-Secure TNB] "F:\Programme\F-Secure Internet Security\TNB\TNBUtil.exe" /CHECKALL /WAITFORSW
O4 - HKLM\..\Run: [F-Secure Startup Wizard] "F:\Programme\F-Secure Internet Security\FSGUI\FSSW.EXE" /reboot
O4 - HKLM\..\Run: [D-Link Air USB Utility] F:\Programme\D-Link\Air USB Utility\AirCFG.exe
O4 - HKLM\..\Run: [QuickTime Task] "F:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [NeroFilterCheck] F:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [T-DSL SpeedMgr] "F:\Programme\T-DSL SpeedManager\SpeedMgr.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE F:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE F:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [routcnf] F:\Programme\Telekom\Eumex 404PC\routcnf.exe
O4 - HKCU\..\Run: [GoldenFTPserver] F:\Programme\Golden FTP Server\gftp.exe
O4 - Global Startup: CAPIControl.lnk = ?
O9 - Extra button: Webfilter - {200DB664-75B5-47c0-8B45-A44ACCF73C00} - F:\Programme\F-Secure Internet Security\FSPC\fspcmsie.dll
O9 - Extra button: (no name) - {200DB664-75B5-47c0-8B45-A44ACCF73F01} - F:\Programme\F-Secure Internet Security\FSPC\fspcmsie.dll
O9 - Extra 'Tools' menuitem: Website-&Liste anzeigen - {200DB664-75B5-47c0-8B45-A44ACCF73F01} - F:\Programme\F-Secure Internet Security\FSPC\fspcmsie.dll
O9 - Extra button: (no name) - {200DB664-75B5-47c0-8B45-A44ACCF73F02} - F:\Programme\F-Secure Internet Security\FSPC\fspcmsie.dll
O9 - Extra 'Tools' menuitem: Webseitenfilter &aussetzen - {200DB664-75B5-47c0-8B45-A44ACCF73F02} - F:\Programme\F-Secure Internet Security\FSPC\fspcmsie.dll
O9 - Extra button: (no name) - {200DB664-75B5-47c0-8B45-A44ACCF73F03} - F:\Programme\F-Secure Internet Security\FSPC\fspcmsie.dll
O9 - Extra 'Tools' menuitem: Diese Website &sperren - {200DB664-75B5-47c0-8B45-A44ACCF73F03} - F:\Programme\F-Secure Internet Security\FSPC\fspcmsie.dll
O9 - Extra button: (no name) - {200DB664-75B5-47c0-8B45-A44ACCF73F04} - F:\Programme\F-Secure Internet Security\FSPC\fspcmsie.dll
O9 - Extra 'Tools' menuitem: Diese Website &zulassen - {200DB664-75B5-47c0-8B45-A44ACCF73F04} - F:\Programme\F-Secure Internet Security\FSPC\fspcmsie.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - F:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - F:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - F:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - F:\Programme\Messenger\msmsgs.exe
O10 - Broken Internet access because of LSP provider 'winsflt.dll' missing
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1122245592015
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{62C85B97-77AC-4268-85E3-907C1CF6C768}: NameServer = 192.168.2.1
O23 - Service: Apache2 - Unknown owner - F:\Programme\Apache Group\Apache2\bin\Apache.exe" -k runservice (file missing)
O23 - Service: F-Secure Internet Security 2005 (BackWeb Plug-in - 4476822) - Unknown owner - F:\PROGRA~1\F-SECU~1\backweb\4476822\Program\SERVIC~1.EXE
O23 - Service: F-Secure Gatekeeper Handler Starter - F-Secure Corp. - F:\Programme\F-Secure Internet Security\Anti-Virus\fsgk32st.exe
O23 - Service: Firebird Guardian - DefaultInstance (FirebirdGuardianDefaultInstance) - The Firebird Project - F:\Programme\Firebird\Firebird_1_5\bin\fbguard.exe
O23 - Service: Firebird Server - DefaultInstance (FirebirdServerDefaultInstance) - The Firebird Project - F:\Programme\Firebird\Firebird_1_5\bin\fbserver.exe
O23 - Service: fsbwsys - F-Secure Corp. - F:\Programme\F-Secure Internet Security\backweb\4476822\program\fsbwsys.exe
O23 - Service: F-Secure Anti-Virus Firewall Daemon (FSDFWD) - F-Secure Corporation - F:\Programme\F-Secure Internet Security\FWES\Program\fsdfwd.exe
O23 - Service: F-Secure HTTP Server (fshttps) - F-Secure Corporation - F:\Programme\F-Secure Internet Security\FSPC\fshttps\fshttps.exe
O23 - Service: F-Secure Management Agent (FSMA) - F-Secure Corporation - F:\Programme\F-Secure Internet Security\Common\FSMA32.EXE
O23 - Service: Macromedia Licensing Service - Unknown owner - F:\Programme\Gemeinsame Dateien\Macromedia Shared\Service\Macromedia Licensing.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - F:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Pml Driver HPZ12 - HP - F:\WINDOWS\system32\HPZipm12.exe
O23 - Service: Titan FTP Server Daemon (SRTSERVERDAEMON) - Unknown owner - F:\WINDOWS\system32\srxTitan.exe
O23 - Service: TSMService - T-Systems Nova, Berkom - F:\Programme\T-DSL SpeedManager\tsmsvc.exe
O23 - Service: WZCBDL Service (WZCBDLService) - D-Link - F:\Programme\WZCBDL Service\WZCBDLS.exe
Seitenanfang Seitenende
22.08.2005, 18:25
Member
Avatar Gool

Beiträge: 4730
#2 Start -> Systemsteuerung -> Verwaltung -> Dienste

Doppelklicke auf "Titan FTP Server Daemon"
Deaktiviere den Service und beende ihn.

Starte den PC im abgesicherten Modus. Dort lösche

F:\WINDOWS\system32\srxTitan.exe

Starte den PC neu, fixe mit HJT ("scan" -> Häkchen setzen -> "fix checked"):

O23 - Service: Titan FTP Server Daemon (SRTSERVERDAEMON) - Unknown owner - F:\WINDOWS\system32\srxTitan.exe

(sofern noch vorhanden)
__________
Dies ist eine Signatur! Persönlicher Service: Du kommst aus Berlin? Dann melde Dich per PN bei mir, evtl. können wir einen Termin vereinbaren.
Der Grabsteinschubser
Seitenanfang Seitenende
22.08.2005, 19:34
...neu hier

Themenstarter

Beiträge: 6
#3 Öööhm...


Bist du sicher, dass ich das tun sollte? Das ist mein Home-FTP-Server.

;)

Oder hat der da einen Spywareeintrag hinterlassen?!
Seitenanfang Seitenende
22.08.2005, 20:15
Member
Avatar Gool

Beiträge: 4730
#4 SRXTitan wird teilweise als Spyware klassifiziert. Leider gibt es darüber nicht sehr viele Quellen.
http://www.actualresearch.com/de/arunlist-234.html

Du könntest allerdings mal mit Spybot S&D scannen und schauen, ob AdAware was übersehen hat (was das eine nicht findet, findet das andere).
__________
Dies ist eine Signatur! Persönlicher Service: Du kommst aus Berlin? Dann melde Dich per PN bei mir, evtl. können wir einen Termin vereinbaren.
Der Grabsteinschubser
Dieser Beitrag wurde am 22.08.2005 um 20:18 Uhr von Managor editiert.
Seitenanfang Seitenende
22.08.2005, 20:24
...neu hier

Themenstarter

Beiträge: 6
#5 Naja,

hab Spybot eben auch nochmal drüber laufen lassen, der zeigt mir diesen Registry Value nicht an, aber dafür jede Menge anderen Kram, den AdAware übersehen hat.

Zum Beispiel backWeb. Ich hab gelesen, dass F-Secure den für seine Updates benutzt, aber kann es da echt sein, dass der Spybot 61 Einträge zu backWeb findet?

Okay, also ich werde dann erstmal den Titan FTP eliminieren.

Vielen Dank schonmal!

P.S.: Kannst du mir auch noch was zu diesem Eintrag sagen:
O10 - Broken Internet access because of LSP provider 'winsflt.dll' missing

Außerdem hab ich deine Anleitung zum Eliminieren von Titan FTP befolgt. Aber nachdem ich die srx-Datei gelöscht hatte, war nach einem Neustart der Eintrag im HJT nicht mehr da.
Dieser Beitrag wurde am 22.08.2005 um 20:39 Uhr von bounty editiert.
Seitenanfang Seitenende
22.08.2005, 21:23
Member
Avatar Gool

Beiträge: 4730
#6 Backweb solltest Du von Spybot nicht reparieren lassen, denn sonst meckert F-Secure (ich hab das schon mal ausprobiert - diese Fehlermeldungen sind echt lästig)!

O10 - Broken Internet access because of LSP provider 'winsflt.dll' missing

Das kannst Du mit dem LSPfix von cexx.org (http://www.cexx.org/lspfix.htm) beheben. Das Programm starten und, sofern winsflt.dll nicht bereits in der rechten Spalte ist, auf "I know what I'm doing" (oder so ähnlich) klicken und das Ding auf die rechte Seite bringen. Dann auf "Finish" klicken.
__________
Dies ist eine Signatur! Persönlicher Service: Du kommst aus Berlin? Dann melde Dich per PN bei mir, evtl. können wir einen Termin vereinbaren.
Der Grabsteinschubser
Seitenanfang Seitenende
23.08.2005, 11:13
...neu hier

Themenstarter

Beiträge: 6
#7 Okay...


also der Titan ist weg, lässt sich auch nicht mehr blicken. ;)

LSPFix hat scheinbar auch ganze Arbeit geleistet.

Aber dieser komische Registtyeintrag ist nach wie vor da, und auch nach wie vor ziemlich renitent.
Seitenanfang Seitenende
23.08.2005, 11:34
Member
Avatar Gool

Beiträge: 4730
#8 ich habe noch mal nachgeschaut und diesen Eintrag bei mir auch gefunden. Muss ja auch, um .reg-Dateien mit Regedit zu öffnen.

bei mir sieht es so aus:

HKCR\regfile\shell\open\command -> regedit.exe "%1"

schau mal bei Dir nach. Falls dort "regedit.exe" "%1" steht, dann würde ich einfach die Anführungszeichen, zwischen denen sich regedit.exe befindet, entfernen.

Warum AdAware das als mögliche Vireninfektion wertet, weiß ich aber nicht. Hast Du die aktuelle Version von AdAware?
__________
Dies ist eine Signatur! Persönlicher Service: Du kommst aus Berlin? Dann melde Dich per PN bei mir, evtl. können wir einen Termin vereinbaren.
Der Grabsteinschubser
Seitenanfang Seitenende
23.08.2005, 11:46
...neu hier

Themenstarter

Beiträge: 6
#9 Hmm...

hab mir auch schon gedacht, dass man die regedit.exe wohl benötigt. ;)

In dem Registryeintrag steht das so:

regedit.exe "%1"

Also ohne Anführungszeichen.

Ich benutze übrigens die F-Secure Version von Adaware, Build 1.05... Ich nehme an, dass das die aktuelle Version ist. Bei einem Signaturenupdate zeigt er mir zumindest keinen Hinweis an.
Seitenanfang Seitenende
23.08.2005, 11:58
Member
Avatar Gool

Beiträge: 4730
#10 Benutze ich auch. Bei mir findet er es, wie schon gesagt, allerdings nicht. Setze es einfach auf die Ausschlussliste, dann solltest Du Ruhe haben ;)
__________
Dies ist eine Signatur! Persönlicher Service: Du kommst aus Berlin? Dann melde Dich per PN bei mir, evtl. können wir einen Termin vereinbaren.
Der Grabsteinschubser
Seitenanfang Seitenende
23.08.2005, 12:00
...neu hier

Themenstarter

Beiträge: 6
#11 Okay...


vielen Dank!!! ;)
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: