Warning Spyware detected on your computer! kann mir keiner helfen bitte ist

#1 Spyware detected on your computer! hallo ich habe probleme mit meinen pc hatte voher über 15viren angezeigt die ich auch gelösch habe aber das problem wie kriege ich das weg habe nächmlich das ad-adware benutzt aber ging leider immer noch nicht weg obwohl ich noch nicht mal bei einstellund mein Standard bild benutzen kann würde mich sehr freuen wenn ihr mir helfen würdet.

#2 runner86

stelle den Cleaner genauso ein, wie hier angegeben:
http://virus-protect.org/cleanup.html

Hijackthis
http://computercops.biz/zx/Merijn/hijackthis.zip
http://virus-protect.org/hjtkurz.html
Lade/entpacke HijackThis in einem Ordner
--> None of the above just start the program --> Save--> Savelog -->es öffnet sich der Editor
nun das KOMPLETTE Log mit rechtem Mausklick abkopieren und ins Forum mit rechtem Mausklick "einfügen"

kopiere hier die 4 Textdateien (3 Monate genuegen)
http://virus-protect.org/datfindbat.html
Verzeichnis von C:\WINDOWS\system32
Verzeichnis von C:\DOKUME~1\Username\LOKALE~1\Temp
Verzeichnis von C:\WINDOWS
Verzeichnis von C:\
__________
MfG Sabina

rund um die PC-Sicherheit

#3 Hatte heute genau das gleich Prob.

Habe im ersten Schritt nach HiJacker-Diagnose die Dateien intell32.exe; netln32.dll aus WINDOWS gelöscht (im abgesicherten Modus). Weiterhin habe ich unter Autostart eine ominöse ms.exe gelöscht.

Im normalen Modus habe ich dann die Registry überprüft und entsprechende Einträge gelöscht. Das von Dir angezeigte Desktop läßt sich oben rechts zuklicken und ist weg.

Laut HiJacker und AdAware ist jetzt wieder alles gut. Zeitaufwand: 6 Stunden (die ich eigentlich BF2 zocken wollte)

#4 Horkhman

ob ich noch was finde ????

kopiere hier die 4 Textdateien (3 Monate genuegen)
http://virus-protect.org/datfindbat.html
Verzeichnis von C:\WINDOWS\system32
Verzeichnis von C:\DOKUME~1\Username\LOKALE~1\Temp
Verzeichnis von C:\WINDOWS
Verzeichnis von C:\
__________
MfG Sabina

rund um die PC-Sicherheit

#5 @ Sabina: Ich lasse mich gerne vom Gegenteil überzeugen ;-)

Verzeichnis von windows/System32

30.12.2005 15:09 197.761 isfxt.log
30.12.2005 11:07 376.016 perfh009.dat
30.12.2005 11:07 386.338 perfh007.dat
30.12.2005 11:07 51.814 perfc009.dat
30.12.2005 11:07 62.578 perfc007.dat
30.12.2005 11:07 886.928 PerfStringBackup.INI
24.12.2005 12:03 197.761 eqjzc.dat
23.12.2005 18:38 3.567 psmsr.log
22.12.2005 21:33 2.206 wpa.dbl
18.12.2005 17:40 2.368 STEC3.sys
09.12.2005 01:21 2.723.680 MRT.exe
01.12.2005 04:31 1.492.480 shdocvw.dll
24.11.2005 00:58 1.022.464 browseui.dll
24.11.2005 00:58 3.013.632 mshtml.dll
10.11.2005 09:53 240.736 FNTCACHE.DAT
05.11.2005 04:16 606.208 urlmon.dll
05.11.2005 04:16 1.056.256 danim.dll
04.11.2005 19:11 34.064 lhacm.acm
21.10.2005 04:40 18.432 oleext.dll
21.10.2005 04:40 664.064 wininet.dll
21.10.2005 04:40 474.112 shlwapi.dll
21.10.2005 04:40 530.944 mstime.dll
21.10.2005 04:40 448.512 mshtmled.dll
21.10.2005 04:40 146.432 msrating.dll
21.10.2005 04:40 39.424 pngfilt.dll
21.10.2005 04:40 96.768 inseng.dll
21.10.2005 04:40 251.392 iepeers.dll
21.10.2005 04:40 55.808 extmgr.dll
21.10.2005 04:40 205.312 dxtrans.dll
21.10.2005 04:40 152.064 cdfview.dll
20.10.2005 23:25 1.094.144 esent.dll
13.10.2005 00:11 15.584 spmsg.dll
06.10.2005 04:18 280.064 gdi32.dll
06.10.2005 04:08 1.839.616 win32k.sys
23.09.2005 04:06 8.491.520 shell32.dll
10.09.2005 02:54 2.067.968 cdosys.dll
01.09.2005 02:44 292.352 winsrv.dll

atentr„ger in Laufwerk C: ist BOOT
Volumeseriennummer: 2496-AFED

Verzeichnis von C:\DOKUME~1\Bert\LOKALE~1\Temp

30.12.2005 22:06 72.192 ~e5.0001
30.12.2005 20:19 1.374 temp.fr00F8
30.12.2005 15:09 9.335 9.tmp
30.12.2005 15:09 9.335 9.tmp.exe
30.12.2005 12:52 4.640 miunst_.exe
23.12.2005 13:27 295 temp.bat
25.11.2005 18:44 131.072 1696.rra
22.11.2005 20:59 10.538 control.xml
29.10.2005 16:16 16.384 Perflib_Perfdata_700.dat
09.10.2005 01:47 10.129 9BOA2L5C.htm

Datentr„ger in Laufwerk C: ist BOOT
Volumeseriennummer: 2496-AFED

Verzeichnis von C:\WINDOWS

30.12.2005 21:00 3.922 ModemLog_Creatix V.9X DSP Data Fax Modem.txt
30.12.2005 21:00 0 0.log
30.12.2005 21:00 159 wiadebug.log
30.12.2005 21:00 1.527.328 WindowsUpdate.log
30.12.2005 21:00 50 wiaservc.log
30.12.2005 20:58 2.048 bootstat.dat
30.12.2005 20:57 32.544 SchedLgU.Txt
30.12.2005 20:50 270 Clony2.ini
30.12.2005 19:46 279.750 ntbtlog.txt
30.12.2005 15:09 2.620.945 x8e91e2450.tmp
30.12.2005 15:09 22.711 stub2.ini
30.12.2005 15:09 1.430 warnhp.html
30.12.2005 06:12 13.581 cxgpg.dat
30.12.2005 06:12 22.854 stub1.ini
28.12.2005 03:23 1.199 logs1.ini
23.12.2005 01:20 25.015 ocmsn.log
19.12.2005 21:11 135 NeroDigital.ini
18.12.2005 17:41 29 AlphaPlayer.INI
14.12.2005 20:59 197.757 comsetup.log
14.12.2005 20:59 258.953 tsoc.log
14.12.2005 20:59 120.050 ntdtcsetup.log
14.12.2005 20:59 1.393 imsins.log
14.12.2005 20:59 102.169 iis6.log
14.12.2005 20:59 9.357 KB910437.log
14.12.2005 20:59 339.332 ocgen.log
14.12.2005 20:59 32.672 msgsocm.log
14.12.2005 20:59 658.319 FaxSetup.log
14.12.2005 20:59 596.342 setupapi.log
14.12.2005 20:59 25.461 updspapi.log
14.12.2005 20:59 1.393 imsins.BAK
14.12.2005 20:59 15.409 KB905915.log
11.12.2005 12:25 54.156 QTFont.qfn
04.12.2005 12:59 3.310 tm.ini
04.12.2005 12:58 108 tdf.dii
26.11.2005 16:19 227.615 setupact.log
26.11.2005 16:11 86 KE.log
22.11.2005 20:59 265.357 wmsetup.log
09.11.2005 22:20 11.807 KB896424.log
18.10.2005 05:01 20.993 KB901017.log
18.10.2005 05:01 23.255 KB902400.log
18.10.2005 05:01 13.992 KB896688.log
18.10.2005 05:01 13.585 KB905414.log
18.10.2005 05:01 13.387 KB900725.log
18.10.2005 05:01 11.228 KB904706.log
18.10.2005 05:01 14.429 KB905749.log
18.10.2005 05:01 0 setuperr.log
06.10.2005 17:56 337.249 DirectX.log
25.09.2005 00:40 1.409 QTFont.for

Datentr„ger in Laufwerk C: ist BOOT
Volumeseriennummer: 2496-AFED

Verzeichnis von C:\

31.12.2005 02:17 0 sys.txt
31.12.2005 02:17 13.680 system.txt
31.12.2005 02:17 7.231 systemtemp.txt
31.12.2005 02:17 97.645 system32.txt
30.12.2005 20:58 1.073.270.784 hiberfil.sys
30.12.2005 20:58 805.306.368 pagefile.sys
23.12.2005 12:36 2.295 INSTALL.LOG


Hmm, Du scheinst Recht zuhaben. Ich weiß zufällig, dass sich der Spy am 30.12.2005 um 15:09 Uhr installiert hat. Genau diese Zeit taucht hier öfter auf... :-)


Die Dateien löschen? Und wenn ja wo?

Greetz Horkhman

#6 Horkhman

gehe in die Registry
Start-->Ausfuehren--> regedit

HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\1\
FriendlyName" = "Warning homepage" <--loeschen
"Source" = "C:\WINDOWS\warnhp.html" <--loeschen


KILLBOX - Pocket KillBox
http://virus-protect.org/killbox.html

Options: Delete on Reboot / Process all in List )--> anhaken
reinkopieren:
...
und klicke auf das rote Kreuz, wenn gefragt wird, ob "Do you want to reboot? "---- klicke auf "no",und kopiere das nächste rein, erst beim letzten auf "yes"

C:\DOKUME~1\Bert\LOKALE~1\Temp\temp.fr00F8
C:\DOKUME~1\Bert\LOKALE~1\Temp\9.tmp
C:\DOKUME~1\Bert\LOKALE~1\Temp\9.tmp.exe
C:\DOKUME~1\Bert\LOKALE~1\Temp\miunst_.exe
C:\DOKUME~1\Bert\LOKALE~1\Temp\temp.bat
C:\WINDOWS\System32\eqjzc.dat
C:\WINDOWS\x8e91e2450.tmp
C:\WINDOWS\stub2.ini
C:\WINDOWS\warnhp.html
C:\WINDOWS\cxgpg.dat
C:\WINDOWS\stub1.ini
C:\WINDOWS\logs1.ini

PC neustarten

poste den scanreport, damit ich die Streams sehen kann
http://virus-protect.org/artikel/tools/ADSSpy.exe

http://virus-protect.org/multiavtool.html
klicke "3" McAfee -- es erscheint ein leeres DOS-Fenster.
- man muss eingeben, was gescannt werden soll

- C:\Windows\System32 dann beginnt der Scan, man sollte dann auch scannen lassen:
- C:\Windows
- C:\

poste die scanreporte
__________
MfG Sabina

rund um die PC-Sicherheit

#7 Sabina, vielen Dank !!


Hier der McAfee Scan-Report von C:Windows/System32
12/31/2005 13:51:31


Options:
"C:\WINDOWS\SYSTEM32" /UNZIP /WINMEM /SUB /ANALYZE /PANALYZE /STREAMS /CLEAN /ALL /DEL /PROGRAM /EXCLUDE C:\AV-CLS\EXCLIST.TXT /MIME /HTML "C:\AV-CLS\MCAFEE\SCANREPORT.HTML"

Scanning C: [BOOT]
C:\WINDOWS\SYSTEM32\oleext.dll ... Found the Druogna trojan !!!
The file or process has been deleted.
Scanning C:\WINDOWS\SYSTEM32\*.*

Summary report on C:\WINDOWS\SYSTEM32\*.*
File(s)
Total files: ........... 7178
Clean: ................. 7167
Possibly Infected: ..... 1
Cleaned: ............... 0
Deleted: ............... 1
Non-critical Error(s): 1


Time: 00:03.23

Weiter gehts:

12/31/2005 13:58:09


Options:
"C:\WINDOWS" /UNZIP /WINMEM /SUB /ANALYZE /PANALYZE /STREAMS /CLEAN /ALL /DEL /PROGRAM /EXCLUDE C:\AV-CLS\EXCLIST.TXT /MIME /HTML "C:\AV-CLS\MCAFEE\SCANREPORT.HTML"

Scanning C: [BOOT]
Scanning C:\WINDOWS\*.*

Summary report on C:\WINDOWS\*.*
File(s)
Total files: ........... 65015
Clean: ................. 64963
Possibly Infected: ..... 0
Cleaned: ............... 0
Non-critical Error(s): 1


Time: 00:17.29



--------------------------------------------------------------------------------

#8 Horkhman

SmitRem2.8
http://noahdfear.geekstogo.com/click%20counter/click.php?id=1

laden--> in den abgesicherten Modus booten --> öffne smitRem folder --> Doppelklick: RunThis.bat warte, bis der Scan beendet ist (der Bildschirm wird blau werden. das ist normal) suche smitfiles.txt --> poste den Text


poste den scanreport
http://virus-protect.org/artikel/tools/ADSSpy.exe
__________
MfG Sabina

rund um die PC-Sicherheit

#9 Alles klar, der Rest folgt morgen.

Derzeit wird noch (schon seit 3 Stunden) C: gescannt, den Report poste ich auch morgen.

Guten Rutsch!

EDit: Scan von C: doch noch fertiggeworden:

12/31/2005 14:21:58


Options:
"C:\" /UNZIP /WINMEM /SUB /ANALYZE /PANALYZE /STREAMS /CLEAN /ALL /DEL /PROGRAM /EXCLUDE C:\AV-CLS\EXCLIST.TXT /MIME /HTML "C:\AV-CLS\MCAFEE\SCANREPORT.HTML"

Scanning C: [BOOT]
C:\info6_s.cab\INFORMATION.EXE ... Found potentially unwanted program Dialer-208.
The file or process has been deleted.
Scanning C:\*.*
C:\!KillBox\9.tmp ... Found trojan or variant New Malware.q !!!
Please send a copy of the file to McAfee
The file or process has been deleted.
C:\!KillBox\9.tmp.exe ... Found trojan or variant New Malware.q !!!
Please send a copy of the file to McAfee
The file or process has been deleted.
C:\!KillBox\warnhp.html ... Found the AdClicker-AJ trojan !!!
The file or process has been deleted.
C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Battlefield 2\Battlefield 2 online mit GameSpy Arcade spielen.url ... Found potentially unwanted program Adware-Url.gen.
The file or process has been deleted.
C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Battlefield 2\Battlefield 2 Special Forces online mit GameSpy Arcade spielen.url ... Found potentially unwanted program Adware-Url.gen.
The file or process has been deleted.
C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Stronghold\Stronghold online über GameSpy Arcade spielen.url ... Found potentially unwanted program Adware-Url.gen.
The file or process has been deleted.
C:\Dokumente und Einstellungen\Ariane\Lokale Einstellungen\Temp\backups\backup-20051230-190838-247.dll ... Found the AdClicker-AJ.gen trojan !!!
The file or process has been deleted.
C:\Dokumente und Einstellungen\Ariane\Lokale Einstellungen\Temp\backups\backup-20051230-191134-238.dll ... Found the AdClicker-AJ.gen trojan !!!
The file or process has been deleted.
C:\Dokumente und Einstellungen\Bert\Lokale Einstellungen\Temp\comver.dll ... Found potentially unwanted program Adware-GameSpyArcade.
The file or process has been deleted.
C:\Dokumente und Einstellungen\Bert\Startmenü\Programme\GameSpy Arcade\GameSpy Arcade Help.url ... Found potentially unwanted program Adware-Url.gen.
The file or process has been deleted.
C:\Dokumente und Einstellungen\Bert\Startmenü\Programme\GameSpy Arcade\GameSpy Arcade Website.url ... Found potentially unwanted program Adware-GameSpyArcade.url.
The file or process has been deleted.
C:\Dokumente und Einstellungen\Bert\Startmenü\Programme\GameSpy Arcade\GameSpy.com Gaming's Homepage.url ... Found potentially unwanted program Adware-GameSpyArcade.url.
The file or process has been deleted.
C:\Dokumente und Einstellungen\Bert\Startmenü\Programme\GameSpy Arcade\Register GameSpy Arcade.url ... Found potentially unwanted program Adware-GameSpyArcade.url.
The file or process has been deleted.
C:\Programme\GameSpy Arcade\GameSpy Arcade Help.url ... Found potentially unwanted program Adware-Url.gen.
The file or process has been deleted.
C:\Programme\GameSpy Arcade\GameSpy Arcade Website.url ... Found potentially unwanted program Adware-GameSpyArcade.url.
The file or process has been deleted.
C:\Programme\GameSpy Arcade\GameSpy.com Gaming's Homepage.url ... Found potentially unwanted program Adware-GameSpyArcade.url.
The file or process has been deleted.
C:\Programme\GameSpy Arcade\GSAPak.exe ... Found potentially unwanted program Adware-GameSpyArcade.
The file or process has been deleted.
C:\Programme\GameSpy Arcade\gslan.dll ... Found potentially unwanted program Adware-GameSpyArcade.
The file or process has been deleted.
C:\Programme\GameSpy Arcade\pw32.dll ... Found potentially unwanted program Adware-GameSpyArcade.
The file or process has been deleted.
C:\Programme\GameSpy Arcade\Register GameSpy Arcade.url ... Found potentially unwanted program Adware-GameSpyArcade.url.
The file or process has been deleted.
C:\Programme\GameSpy Arcade\Services\_common\PortraitLoader.dll ... Found potentially unwanted program Adware-GameSpyArcade.
The file or process has been deleted.

Summary report on C:\*.*
File(s)
Total files: ........... 423357
Clean: ................. 423233
Possibly Infected: ..... 5
Cleaned: ............... 0
Deleted: ............... 22
Non-critical Error(s): 3


Time: 03:09.44

#10 SmitRem2.8
http://noahdfear.geekstogo.com/click%20counter/click.php?id=1

laden--> in den abgesicherten Modus booten --> öffne smitRem folder --> Doppelklick: RunThis.bat warte, bis der Scan beendet ist (der Bildschirm wird blau werden. das ist normal) suche smitfiles.txt --> poste den Text

poste den scanreport
http://virus-protect.org/artikel/tools/ADSSpy.exe

-------------------------------------

Guten Rutsch!
__________
MfG Sabina

rund um die PC-Sicherheit

#11 Sabina:

Hier schon einmal der Stream:

C:\Windows\ocmsn.log :atydng (13581 bytes)


Und hier das Ergebnis von Smit:

smitRem © log file
version 2.8

by noahdfear


Microsoft Windows XP [Version 5.1.2600]

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

checking for ShudderLTD key

ShudderLTD key not present!

checking for PSGuard.com key


PSGuard.com key not present!


checking for WinHound.com key


WinHound.com key not present!

spyaxe uninstaller NOT present
Winhound uninstaller NOT present
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

Existing Pre-run Files


~~~ Program Files ~~~



~~~ Shortcuts ~~~



~~~ Favorites ~~~



~~~ system32 folder ~~~



~~~ Icons in System32 ~~~



~~~ Windows directory ~~~



~~~ Drive root ~~~


~~~ Miscellaneous Files/folders ~~~




~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~



Command Line Process Viewer/Killer/Suspender for Windows NT/2000/XP V2.03
Copyright(C) 2002-2003 Craig.Peacock@beyondlogic.org
Killing PID 1836 'explorer.exe'
Killing PID 1836 'explorer.exe'

Starting registry repairs

Deleting files


Remaining Post-run Files


~~~ Program Files ~~~



~~~ Shortcuts ~~~



~~~ Favorites ~~~



~~~ system32 folder ~~~



~~~ Icons in System32 ~~~



~~~ Windows directory ~~~



~~~ Drive root ~~~



~~~ Miscellaneous Files/folders ~~~




~~~ Wininet.dll ~~~

CLEAN!


@Sabina
Nun ist mein Desktop noch blau und die Taskleiste erscheint in einer veränderten Auflösung (wie im abgesicherten Modus). Normal?

#12 das sind die Standardeinstellungen von von Windows...du kannst es selbst wieder umstellen (rechtsklick auf den Desktop--> Eigenschaften )

rechtsklick auf desktop -> eigenschaften -> einstellungen -> farbqualitaet 32Bit; Bildschirmaufloesung 1024 x 768

desktop -> Hintergrund auswaehlen

poste den scanreport
http://virus-protect.org/artikel/tools/ADSSpy.exe
__________
MfG Sabina

rund um die PC-Sicherheit

#13 C:\Windows\ocmsn.log :atydng (13581 bytes)

#14 loesche den Stream... dann berichte, ob wieder alles laueft, wie es soll
__________
MfG Sabina

rund um die PC-Sicherheit

#15 Hallo Sabina,

alles gelöscht, alles wieder gut, vielen Dank.

Schick mal Deine Bankverbindung an meine E-Mail-Addy (wg. Spende ;-))