Spysherif entfernen aber wie??

#0
28.12.2005, 19:43
...neu hier

Beiträge: 1
#1 Hi ich habe mir heute den schon im Froum beschriebenen Spysheriff eingefangen. Leider weder ich aus den unter mir stehenden Themne nicht ganz so schlüssig.
Hier eine beschreibung des Problems mit Hijackfile des befallen Computer:

Als erstes habe ich meine Internetverbindung gekappt und versucht auf den Taskmanager zu zugreifen,dort erscheint jetzt die Meldung das der TManger vom Administrator deaktivert wurde als nächstes habe meinen PC neu gestartet.

Nun wird nachdem hochfahren eine system 32 datei (netsh.exe) per Console ausgeführt, danach kommt eine weitere Fehlermeldung die einen Runtime Eror bei c++ meldet bei der Datei:sachostp.exe in System 32.

Zusätzlich erscheint ein neuer Desktop mit einer großen Meldung ihr System is von Spyware befallen(mit Link auf eine seite names tesla... oder so).
In der Leiste bei der Uhr erscheint ein rotes X und ein Popup das sagt:

Your Computer is infected!
Windows has detected spyware infektion!
It is recommended to use spezial antispyware tools to prevent data loss. Windows will now download and install the most up-to-date antispyware for you.
Click here to protect your computer from Spyware.

Der Internet explorer versucht dann unter C:\windows\system32\search.html eine Datei runter zuladen die ich bis jetzt geblockt habe.
Wenn ich versuche Programme wie Spybot Search & Destroy auszuführen erscheint die Fehlermeldung die sich mit jedem klick vermehrt und nicht weg zubekommen ist:

Zugriffsverletzung bei Addresse 004a0341 in modul 'SpybotSD.exe'. Lesen von Addresse 0000000030.

Als nächstes bin ich in den abgesicherten modus gewechselt und habe dort Spybot Search & Destroy (hier funktioniert alles normal) aus geführt dabei wurden folgende Einträge gefunden:

coolWWWsearch.WCADW
coolWWWsearch.Yexe
nach dem entfernen war alles wie oben beschrieben.

Unter C: waren 2 exe Dateien mit namen xxx.exe und winstall.exe iuch versucht beide zulöschen die erste (xxx.exe) ist verschwunden die andere ist aber immer bei jedem neustart wieder da und kann nur im abgesicherten modus gelöscht werden
Programme wie Anti-vir oder Addaware haben leider nicht geholfe lassen sich aber auh aushalb des abgesicherten modus ausführen.
zusätzlich is der Rechner sehr langsam geworden ich vermute das im Hintergrund eine Programme am laufen sind.

Ich hoffe ich habe das Problem ausführlich beschrieben und das mir jemand helfen kann.
Hier noch das Hijackfile:
Logfile of HijackThis v1.99.1
Scan saved at 17:08:48, on 28.12.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\inet20099\winlogon.exe
C:\Programme\ICQLite\ICQLite.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\WINDOWS\sysldr32.exe
C:\WINDOWS\sachostx.exe
C:\WINDOWS\System32\efsdfgxg.exe

C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\System32\cmd32.exe
C:\WINDOWS\System32\intell32.exe
C:\WINDOWS\System32\ctfmon.exe
C:\WINDOWS\System32\sywsvcs.exe
C:\WINDOWS\System32\z11.exe
C:\WINDOWS\System32\exeha2.exe

C:\WINDOWS\System32\wuauclt.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Dokumente und Einstellungen\Administrator\Desktop\HijackThis.exe
C:\WINDOWS\System32\svchost.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = C:\WINDOWS\System32\search.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = C:\WINDOWS\System32\search.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = C:\WINDOWS\System32\search.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = C:\WINDOWS\System32\search.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = C:\WINDOWS\System32\search.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = C:\WINDOWS\System32\search.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = C:\WINDOWS\System32\search.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = C:\WINDOWS\System32\search.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = C:\WINDOWS\System32\search.html

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = local.,
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll

F3 - REG:win.ini: run=C:\WINDOWS\inet20099\winlogon.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {5321E378-FFAD-4999-8C62-03CA8155F0B3} - (no file)
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot

O4 - HKLM\..\Run: [SystemLoader] C:\WINDOWS\sysldr32.exe
O4 - HKLM\..\Run: [HostSrv] C:\WINDOWS\sachostx.exe
O4 - HKLM\..\Run: [Explorer32] C:\WINDOWS\System32\efsdfgxg.exe
O4 - HKLM\..\Run: [xp_system] C:\WINDOWS\inet20099\winlogon.exe

O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [ControlPanel] C:\WINDOWS\System32\cmd32.exe internat.dll,LoadKeyboardProfile
O4 - HKLM\..\Run: [intell32.exe] C:\WINDOWS\System32\intell32.exe

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [GoogleTranslator2] C:\Programme\Google-Translator\googletranslator.exe
O4 - HKCU\..\Run: [Windows installer] C:\winstall.exe
O4 - HKCU\..\Run: [aupd] C:\WINDOWS\System32\sywsvcs.exe
O4 - HKCU\..\Run: [xp_system] C:\WINDOWS\inet20099\winlogon.exe

O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Global Startup: D-Link AirPlus DWL-120+ Wireless USB Adapter.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O20 - Winlogon Notify: msupdate - C:\WINDOWS\SYSTEM32\msupdate32.dll
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe

Ich habe leider nicht soviel ahnung mit der regristierung und würde mich deshalb über eine nicht schwere Lösung freun.
Thx lostinwin
Seitenanfang Seitenende
28.12.2005, 20:48
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#2 lostinwin

nicht schwere Loesung ist gut..... Formatieren waere das beste ;)
----------------------------------------------------------------------------------
stelle den Cleaner genauso ein, wie hier angegeben:
http://virus-protect.org/cleanup.html

kopiere die 4 textdateien (3 Monate vom Datum her genuegen)
http://virus-protect.org/datfindbat.html
Verzeichnis von C:\WINDOWS\system32
Verzeichnis von C:\DOKUME~1\Username\LOKALE~1\Temp
Verzeichnis von C:\WINDOWS
Verzeichnis von C:\

-------------------------------------
Info:
http://virus-protect.org/artikel/spyware/secure_32.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende