Spyware Infection

Thema ist geschlossen!
Thema ist geschlossen!
#0
29.01.2006, 13:28
...neu hier

Beiträge: 6
#1 Hallo zusammen, wieder einer mit dem Schei...!!!!!!!!!!!!!!!!
hoffe es kann geholfen werden

Logfile of HijackThis v1.99.1
Scan saved at 13:04:44, on 29.01.2006
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe
C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\SYSTEM32\ATIPTAXX.EXE
C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\Logitech\Desktop Messenger\8876480\Program\BackWeb-8876480.exe
C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE
C:\Programme\AOL 9.0\aoltray.exe
C:\Programme\WIDCOMM\Bluetooth Software\BTTray.exe
C:\Programme\Logitech\SetPoint\KEM.exe
E:\CASIO\Photo Loader\Plauto.exe
C:\PROGRAMME\LOGITECH\SETPOINT\KHALMNPR.EXE
C:\PROGRA~1\WIDCOMM\BLUETO~1\BTSTAC~1.EXE
C:\Programme\Logitech\SetPoint\MediaPlayerMgr.exe
C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE
C:\Programme\AVPersonal\AVWIN.EXE
C:\Programme\Internet Explorer\iexplore.exe
C:\DOKUME~1\Zvoni\LOKALE~1\Temp\Rar$EX00.875\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.n24.de/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
O2 - BHO: Yahoo! Companion BHO - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\Programme\Yahoo!\Companion\Installs\cpn\ycomp5_5_7_1.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\ycomp5_5_7_1.dll
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [ATIPTA] C:\WINDOWS\SYSTEM32\ATIPTAXX.EXE
O4 - HKLM\..\Run: [Logitech Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [AOLDialer] C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKCU\..\Run: [LDM] C:\Programme\Logitech\Desktop Messenger\8876480\Program\BackWeb-8876480.exe
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE"
O4 - Startup: Audi Desktop Kalender.lnk = C:\Programme\Audi Desktop Kalender\DesktopCalendar.exe
O4 - Global Startup: AOL 9.0 Tray-Symbol.lnk = C:\Programme\AOL 9.0\aoltray.exe
O4 - Global Startup: BTTray.lnk = ?
O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Programme\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe
O4 - Global Startup: Logitech SetPoint.lnk = C:\Programme\Logitech\SetPoint\KEM.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: Photo Loader resident.lnk = E:\CASIO\Photo Loader\Plauto.exe
O8 - Extra context menu item: Senden an &Bluetooth - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra button: Mobilen Favoriten erstellen - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~4\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~4\INetRepl.dll
O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~4\INetRepl.dll
O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 - Extra 'Tools' menuitem: @btrez.dll,-4017 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O20 - Winlogon Notify: LBTServ - C:\Programme\Gemeinsame Dateien\Logitech\Bluetooth\lbtserv.dll
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE
O23 - Service: AOL Connectivity Service (AOL ACS) - America Online, Inc. - C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: Bluetooth Service (btwdins) - WIDCOMM, Inc. - C:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
Seitenanfang Seitenende
29.01.2006, 16:47
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#2 onko

stelle den CleanUp genauso ein, wie hier angegeben:
http://virus-protect.org/cleanup.html

Kopiere diese 4 Textdateien. Sie sind nach Datum geordnet. (kopiere nur die letzten 3 Monate ab)
http://virus-protect.org/datfindbat.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
30.01.2006, 19:57
...neu hier

Themenstarter

Beiträge: 6
#3 Meine Infos............................

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 24D2-E237



Verzeichnis von C:\WINDOWS\system32

30.01.2006 19:34 2.206 wpa.dbl
29.01.2006 12:28 23.147 Atmdeuxx.GID
29.01.2006 12:00 86.662 kspydoc.log
29.01.2006 11:36 0 Sweeper.cfg
25.01.2006 18:58 110.992 FNTCACHE.DAT
04.11.2005 16:27 534.280 LegitCheckControl.DLL
04.11.2005 16:27 23.304 GWFSPidGen.DLL
03.11.2005 18:38 39.992 perfc009.dat
03.11.2005 18:38 311.604 perfh009.dat
03.11.2005 18:38 48.156 perfc007.dat
03.11.2005 18:38 316.594 perfh007.dat
03.11.2005 18:38 723.744 PerfStringBackup.INI
Seitenanfang Seitenende
30.01.2006, 23:40
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#4 ich sprach von 4 Textdateien...ist genau auf meiner Seite erklaert, wie man hier zustande bekommt...dann sprach ich auch von 3 Monaten ..besser noch...poste alles bis August (sind nach Datum geordnet)
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
31.01.2006, 18:59
...neu hier

Themenstarter

Beiträge: 6
#5 Auf eine neues....................

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 24D2-E237

Verzeichnis von C:\WINDOWS\system32

30.01.2006 19:34 2.206 wpa.dbl
29.01.2006 12:28 23.147 Atmdeuxx.GID
29.01.2006 12:00 86.662 kspydoc.log
29.01.2006 11:36 0 Sweeper.cfg
25.01.2006 18:58 110.992 FNTCACHE.DAT
04.11.2005 16:27 534.280 LegitCheckControl.DLL
04.11.2005 16:27 23.304 GWFSPidGen.DLL
03.11.2005 18:38 39.992 perfc009.dat
03.11.2005 18:38 311.604 perfh009.dat
03.11.2005 18:38 48.156 perfc007.dat
03.11.2005 18:38 316.594 perfh007.dat
03.11.2005 18:38 723.744 PerfStringBackup.INI

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 24D2-E237

Verzeichnis von C:\DOKUME~1\Zvoni\LOKALE~1\Temp

31.01.2006 18:56 520 WcesView.log
31.01.2006 18:32 225 WCESCOMM.LOG
31.01.2006 07:06 4 PMShared
31.01.2006 06:40 1.664 java_install_reg.log

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 24D2-E237

Verzeichnis von C:\WINDOWS

31.01.2006 18:24 0 0.log
31.01.2006 18:23 159 wiadebug.log
31.01.2006 18:23 50 wiaservc.log
31.01.2006 18:23 2.048 bootstat.dat
31.01.2006 07:11 23.564 SchedLgU.Txt
31.01.2006 07:06 812 win.ini
25.01.2006 19:00 991.850 setupapi.log
25.01.2006 17:06 1.999 desktop.html
25.01.2006 17:03 69 NeroDigital.ini
25.01.2006 09:04 54.156 QTFont.qfn
18.01.2006 18:01 193.568 wmsetup.log
16.11.2005 21:02 30.760 Windows Update.log

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 24D2-E237

Verzeichnis von C:\

31.01.2006 18:57 0 sys.txt
31.01.2006 18:57 4.745 system.txt
31.01.2006 18:56 546 systemtemp.txt
31.01.2006 18:56 102.388 system32.txt
31.01.2006 18:33 0 oefolders.log
31.01.2006 18:23 0 Log.txt
25.01.2006 17:04 28.160 ntnc.exe
25.01.2006 17:04 28.160 winstall.exe
Seitenanfang Seitenende
01.02.2006, 00:06
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#6 onko

KILLBOX - Pocket KillBox
http://virus-protect.org/killbox.html

Options: Delete on Reboot --> anhaken
und klicke auf das rote Kreuz, wenn gefragt wird, ob "Do you want to reboot? "---- klicke auf "no",und kopiere das nächste rein, erst beim letzten auf "yes"
reinkopieren:

C:\WINDOWS\desktop.html
C:\ntnc.exe
C:\winstall.exe

PC neustarten


nach dem Neustart suche: C:\!KillBox
und loesche alle dort befindlichen Dateien manuell

---------------------------------------------------------------

Hoster.zip
http://www.funkytoad.com/download/hoster.zip
Press 'Restore Original Hosts' and press 'OK' Exit Program.

kopiere hier (das komplette) Log vom Silentrunner
http://virus-protect.org/silentrunner.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
01.02.2006, 15:10
...neu hier

Themenstarter

Beiträge: 6
#7 da ziehe ich ja meine hosen aus , da weis man ja alles von mir...........

"Silent Runners.vbs", revision 43, http://www.silentrunners.org/
Operating System: Windows XP
Output limited to non-default values, except where indicated by "{++}"



Group Policies [Description] {enabled Group Policy setting}:
------------------------------------------------------------

HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\
HIJACK WARNING! "ForceActiveDesktopOn"=dword:00000001
[enables Active Desktop and prevents disabling it]
{User Configuration|Administrative Templates|Desktop|Active Desktop|
Enable Active Desktop}

HIJACK WARNING! "Wallpaper" = "C:\WINDOWS\desktop.html"
[disables the Display Properties|Desktop (tab) (except the "Customize
Desktop..." button); selects wallpaper if Active Desktop is enabled]
{User Configuration|Administrative Templates|Desktop|Active Desktop|
Active Desktop Wallpaper|Wallpaper Name:}


Active Desktop and Wallpaper:
-----------------------------

Active Desktop enabled via Group Policy.

Wallpaper selected via Group Policy.


Enabled Screen Saver:
---------------------

HKCU\Control Panel\Desktop\

HKCU\Software\Microsoft\Internet Explorer\Desktop\Components\0\
"SCRNSAVE.EXE" = "C:\WINDOWS\System32\SKSCRE~1.SCR" (SKScreenMatrix.scr) [null data]


Startup items in "Zvoni" & "All Users" startup folders:
-------------------------------------------------------

C:\Dokumente und Einstellungen\Zvoni\Startmenü\Programme\Autostart
"Audi Desktop Kalender" -> shortcut to: "C:\Programme\Audi Desktop Kalender\DesktopCalendar.exe" [null data]
Seitenanfang Seitenende
01.02.2006, 15:58
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#8 Gehe in die Registry
Start-->Ausfuehren--> regedit

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\system\
"Wallpaper" = "C:\WINDOWS\desktop.html" <---loeschen


Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als fix.reg mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden.

Zitat

REGEDIT4

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
"NoViewContextMenu"=-

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
"NoViewContextMenu"=-
"NoActiveDesktop"=-
"ForceActiveDesktopOn"=-

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\ActiveDesktop]
"NoChangingWallPaper"=-
"NoComponents"=-
"NoAddingComponents"=-
"NoDeletingComponents"=-
"NoEditingComponents"=-
"NoHTMLWallpaper"=-
Computer in den abgesicherten Modus neustarten (F8 beim Starten drücken). Die Datei "fix.reg" auf dem Desktop doppelklicken.

scanne mit ewido und kopiere hier den scanreport
http://virus-protect.org/ewido.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
03.02.2006, 07:37
...neu hier

Themenstarter

Beiträge: 6
#9 ---------------------------------------------------------
ewido anti-malware - Scan Report
---------------------------------------------------------

+ Erstellt am: 07:36:42, 03.02.2006
+ Report-Checksumme: 2F82D43

+ Scanergebnis:

C:\Dokumente und Einstellungen\Zvoni\Cookies\zvoni@adserver.71i[1].txt -> Spyware.Cookie.71i : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Zvoni\Cookies\zvoni@atdmt[2].txt -> Spyware.Cookie.Atdmt : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Zvoni\Cookies\zvoni@doubleclick[1].txt -> Spyware.Cookie.Doubleclick : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Zvoni\Cookies\zvoni@ivwbox[1].txt -> Spyware.Cookie.Ivwbox : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Zvoni\Cookies\zvoni@trafficcenter[2].txt -> Spyware.Cookie.Trafficcenter : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Zvoni\Cookies\zvoni@www.etracker[1].txt -> Spyware.Cookie.Etracker : Gesäubert mit Backup
C:\Programme\Kazaa Lite\supertrick.txt -> Trojan.Qhost.ex : Gesäubert mit Backup


::Report Ende
Seitenanfang Seitenende
03.02.2006, 11:23
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#10 scanne mit Kaspersky und berichte
ist inzwischen wieder alles, wie es sein soll?
http://virus-protect.org/onlinescan.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
05.02.2006, 13:53
...neu hier

Themenstarter

Beiträge: 6
#11 Hajdi Sabina ,

es funkt wieder , so wie es sein muß .
Habe Ad-Aware SE , geht das , oder ist die Software nicht
zu empfehlen............

cao bao ..............und ein großes daaaaaaaankeschön..................Zvoni!!
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: